Евгений Разумный / Ведомости

Минэкономразвития предложило уточнить формулировки статьи Уголовного кодекса, предполагающей ответственность за нанесение ущерба критической информационной инфраструктуре (КИИ), рассказали «Ведомостям» два человека, близкие к рабочей группе по нормативному регулированию при АНО «Цифровая экономика». По их словам, группа одобрила предложенный министерством законопроект.

Документ предполагает, что в ст. 274.1 Уголовного кодекса речь пойдет не о причинении вреда КИИ, а о причинении крупного ущерба, на сумму 1 млн руб., рассказывает один из собеседников «Ведомостей».

Под КИИ закон подразумевает разнообразные сети связи, информационные системы и автоматизированные системы управления госорганов и компаний.

 За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, предусмотрена ответственность вплоть до лишения свободы на срок до 6 лет с запретом занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет, рассказывает партнер фирмы «Рустам Курмаев и партнеры» Дмитрий Клеточкин. За аналогичные деяния, если они повлекли тяжкие последствия, можно получить от пяти до десяти лет, а если они совершены группой лиц по предварительному сговору или с использованием служебного положения ‒ от трех до восьми лет.

Законопроект подготовлен Минэкономразвития совместно с фондом «Сколково» ‒ он определяет ответственность за нарушения правил эксплуатации критической инфраструктуры, говорит представитель ведомства: уточнить ст. 274.1 необходимо, чтобы преодолеть неопределенность понятия «причинение вреда».

По его словам, принятие законопроекта снизит риски уголовного преследования специалистов, занятых обслуживанием объектов критической инфраструктуры.

Это позволит избежать случаев, когда действия, не имеющие реальной общественной опасности, будут квалифицироваться как преступления, подчеркивает представитель Минэкономразвития.

В существующей редакции ст. 274.1 УК РФ уголовная ответственность может наступить при любом нарушении правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ всех категорий значимости, говорит заместитель гендиректора АНО «Цифровая экономика» Дмитрий Тер-Степанов.

Без ограничения объектов действительно значимой КИИ под уголовным преследованием может оказаться неоправданно широкий круг ИТ-специалистов, опасается он. По его словам, это тормозит развитие  технологий ‒ люди боятся работать с подобными объектами.

Для исключения подобных случаев и было предложено  ввести дополнительные условия наступления ответственности, объясняет Тер-Степанов.

По данным Судебного департамента при Верховном суде (на них ссылается Минэкономразвития), в 2019 г. по ст. 274.1 в России было осуждено четыре человека – все к условным срокам. В 2018 г.

осужденных по этой статье не было.

Важно не только абсолютное число уголовных дел, но и дестимулирующий эффект возможного уголовного наказания без причинения вреда, подчеркивает представитель Минэкономразвития.

На практике нововведения означают, что работавшему на сети сотруднику компании, непредумышленно повредившему ее, нельзя вменить это в качестве преступления, утверждает человек, знакомый с руководством одной из телекоммуникационных компаний.

Предлагаемые изменения в ч. 3 ст. 274.1 Уголовного кодекса позволят снизить правовую неопределенность и исключить расширительное толкование понятия «причинение вреда», считает представитель МТС Алексей Меркутов. Действующие нормы карают не только за неправомерное воздействие на КИИ, но и предусматривают чрезмерное наказание за нарушение правил эксплуатации объектов КИИ, сетует он.

Представители других операторов, опрошенные «Ведомостями», отказались от комментариев.

Обе формулировки (причинение вреда КИИ и причинение крупного ущерба) – оценочные, очень непонятно, как рассчитывать сумму ущерба, недоумевает сотрудник одного из них.

Статья УК фактически не применяется, потому что правоохранительные органы не умеют ее применять, утверждает он. Собеседник «Ведомостей» не видит предпосылок к тому, чтобы внесение изменений помогло более качественно расследовать эти преступления.

Фабула ст. 274.1 УК РФ предусматривает ответственность именно за неправомерный доступ к критической информационной инфраструктуре, причинивший вред, либо за подготовку инструментов для такого доступа (вредоносного ПО), отмечает Дмитрий Клеточкин.

То есть законодатель при формулировании состава преступления во главу угла ставит именно неправомерность доступа (очевидную для преступника) и наличие у него преступного умысла, объясняет он.

Почему надо такие составы декриминализировать ‒ совершенно непонятно, разводит руками Клеточкин: крайне сложно представить ситуацию, в которой кто бы то ни было случайно наносит ущерб КИИ.

Если такие действия имели место, значит, лица, которые их совершили, приложили к этому деянию определенные усилия, т. е. вряд ли ущерб нанесен неумышленно, а это уже формирует состав преступления, заключает эксперт.

Ук рф: ст 272, 273, 274

Нужна помощь адвоката в Москве? Обращайтесь!Позвонить адвокату 8-916-579-33-83 в один кликНаписать адвокату по WhatsAppУголовный кодекс Российской ФедерацииПреступления в сфере компьютерной информацииСтатья 272 УК РФ. Неправомерный доступ к компьютерной информации 1.

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок. 2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок. 3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, — наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок. 4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет. Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. 2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей.

Статья 273 УК РФ. Создание, использование и распространение вредоносных компьютерных программ

1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев. 2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. 3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.

Статья 274 УК РФ. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, — наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок. 2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, — наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.

Статья 274.1 УК РФ. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации

1. Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации, — наказываются принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет. 2. Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации, — наказывается принудительными работами на срок до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет и с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет. 3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, — наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. 4. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения, — наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. 5. Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия, —

наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.

Ук рф: ст 272, 273, 274 — Статьи Уголовного кодекса РФ — Преступления в сфере компьютерной информации — Услуги адвоката в Москве

Прокурор разъясняет — Прокуратура Ярославской области

Преступления в сфере компьютерной информации

В настоящее время с использованием информационно-телекоммуникационных сетей (включая сеть «Интернет») совершается  множество видов преступлений, например: распространение вирусного программного обеспечения; кража конфиденциальных данных пользователей; кража чужих продуктов интеллектуальной деятельности; взлом чужих аккаунтов в социальных сетях; распространение неверной информации, клевета; разжигание межнациональной розни или провокация межрелигиозной вражды, незакон­ный обо­рот нар­котиков. Особенно распространенное преступление — мошенничество.   

Ки­бер­прес­тупле­ния слож­нее рас­крыть, поэто­му  за них предусмотрены  более строгие сан­кции, чем за аналогичные действия, совер­шенные без исполь­зования информа­цион­ных тех­нологий. 

 В отдельную главу 28 Уголовного кодекса Российской Федерации выделены преступления в сфере компьютерной информации. Ответственность за данные преступления наступает с 16 лет.

Глава состоит из четырех статей. 

Статья 272 УК РФ – Неправомерный доступ к компьютерной информации. Подразумевает незаконное получение доступа к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.

За совершение подобных действий лицо может понести наказание в виде штрафа в размере до 200 тысяч рублей, исправительных работ – до 1 года или лишения свободы до 2 лет.

Если эти деяния причинили крупный ущерб (свыше 1 миллиона рублей), либо были совершены из корыстной заинтересованности, группой лиц или лицом с использованием своего служебного положения, то размеры штрафов, сроки исправительных работ и лишения свободы увеличиваются.

В случаях, если  вышеуказанные действия виновного лица  повлекли тяжкие последствия или создали угрозу их наступления, то срок лишения свободы может быть определен в виде 7 лет.

К тяжким последствиям относятся: причинение особо крупного материального ущерба, серьезное нарушение деятельности предприятий и организаций, наступление аварий и катастроф, причинение тяжкого вреда здоровью людей или смерти и др.)

 Статья 273 УК РФ –  Создание, использование и распространение вредоносных компьютерных программ.

Предусматривает уголовную ответственность за создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирование компьютерной информации или нейтрализации средств защиты компьютерной информации.

Под компьютерными программами по смыслу данной статьи УК РФ в основном понимаются программы, известные как компьютерные вирусы. 

За совершение указанных действий предусмотрено ограничение свободы  или принудительные работы на срок до 4 лет, или лишение свободы до 4 лет со штрафом до 200 тысяч рублей.

Более суровые сроки наказания предусмотрены, за совершения этих действий группой лиц или лицом с использованием своего служебного положения, либо из корыстной заинтересованности, а также если они причинили крупный ущерб. А в случаях наступления тяжких последствий или создания угрозы их наступления срок лишения свободы может быть назначен виновному до 7 лет. 

 Статья 274 УК РФ – Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно- телекоммуникационных сетей.

Согласно этой статье, за некорректное использование компьютерной информации и информационно- телекоммуникационных сетей, вследствие которого повредилась охраняемая информация, была подвержена изменениям или скопирована,  виновному грозит уголовная ответственность и наказание в виде штрафа до 500 тысяч рублей или исправительных работ сроком до 6 месяцев,  или лишения свободы на срок до 2 лет.

Более суровое наказание, до 5 лет лишения свободы  предусмотрено если эти действия повлекли тяжкие последствия или создание угрозы их наступления.

Статья 274-1 УК РФ —  Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

Ответственность по данной статье наступает в  случаях создания, распространения и (или) использование компьютерных программ, предназначенных для уничтожения, блокирования, модификации, копирования информации, содержащейся в критической информационной инфраструктуре Российской Федерации. 

Статья предусматривает различные  меры уголовной ответственности в зависимости от способов и субъектов преступления, а в случаях если такие действия повлекли тяжкие последствия, то виновному грозит наказание до 10 лет лишения  свободы.  

Заместитель начальника уголовно-судебного отдела                                                         Н.Б. Филиппова

Муниципальное образование Ташлинский район Оренбургской области

Уголовная ответственность за преступления, совершённые с использованием информационно-телекоммуникационных технологий

Развитие информационно-телекоммуникационных технологий и увеличение числа преступлений, совершенных с помощью сети Интернет, средств мобильной связи, компьютерных техники и программ, пластиковых карт и иных технологий на базе сети Интернет, потребовало от законодателя усиления уголовно-правовой защиты граждан и организаций.

Федеральным законом от 01.04.2020 № 95-ФЗ внесены изменения в статью 238.

1 УК РФ, предусматривающую наказание за оборот фальсифицированных, недоброкачественных и незарегистрированных лекарственных средств, медицинских изделий и фальсифицированных биологически активных добавок.

Данные действия, совершенные с использованием сети Интернет, переведены из категории средней тяжести в число тяжких преступлений, максимальное наказание за их совершение увеличено с 5 до 6 лет лишения свободы.

В 2018 году ужесточена ответственность за совершение краж денежных средств с банковского счета, которые по степени тяжести приравнены к кражам с незаконным проникновением в жилище и караются лишением свободы на срок до 6 лет (пункт «г» части 3 статьи 158 УК РФ).

Ранее законодателем введен специальный состав мошенничества, совершенного с использованием электронных средств платежа (статья 159.

3 УК РФ), к которым в соответствии с Федеральным законом «О национальной платежной системе» относятся средства и (или) способы, позволяющие составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, иных технических устройств. При этом неправомерный оборот данных средств платежа (незаконное их изготовление, приобретение, хранение, транспортировка в целях использования или сбыта, а равно сбыт) относится к тяжким преступлениям и влечет наказание до 6 лет лишения свободы (часть 1 статьи 187 УК РФ).

В отдельный состав преступления выделено мошенничество в сфере компьютерной информации (статья 159.6 УК РФ), связанное с хищением чужого имущества путем получения доступа к компьютерной системе и совершения определенных действий (ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства).

В соответствии с Постановлением Пленума Верховного Суда Российской Федерации от 30.11.

2017 № 48, в случае совершения данного деяния посредством неправомерного доступа к компьютерной информации либо создания, использования и распространения вредоносных компьютерных программ оно подлежит квалификации по совокупности преступлений, предусмотренных статьей 159.

6 УК РФ и соответствующей статьей главы 28 УК РФ «Преступления в сфере компьютерной информации».

Повышенная уголовная ответственность также установлена за совершение с использованием сети Интернет таких преступлений, как доведение до самоубийства (статья 110 УК РФ), вовлечение несовершеннолетнего в совершение действий, представляющих опасность для его жизни (статья 151.2 УК РФ), сбыт наркотических средств, психотропных веществ или их аналогов (статья 228.1 УК РФ), незаконные изготовление и оборот порнографических материалов (статья 242 УК РФ), публичные призывы к осуществлению террористической и экстремистской деятельности (статьи 205.2 и 280 УК РФ), и ряда других преступлений.

Защита прав и законных интересов гражданина в первую очередь зависит от его ответственного отношения к использованию достижений научно-технического прогресса и соблюдения законодательства.

О преступлениях в сфере информационно-коммуникационных технологий

Развитие технологий в современном мире обуславливает их повсеместное проникновение во все сферы общественной жизни.

Этим пользуются не только добросовестные пользователи коммуникационных сетей, но и злоумышленники, преследующие различные противоправные цели – личное обогащение, дискредитацию граждан и государственных органов, распространение нелегальной информации, идей терроризма и экстремизма.

В Российской Федерации отмечается ежегодный рост таких преступлений.

Повсеместно регистрируются преступления, связанные с хищением денежных средств из банков и иных кредитных организаций, физических и юридических лиц, совершаемых с использованием современных информационно-коммуникационных технологий, ответственность за которые в зависимости от способа преступного посягательства предусмотрена ст.ст. 158, 159, 159.3, 159.6 УК РФ.

Федеральным законом от 23.04.2018 № 111-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» введена ответственность виновных лиц по статье 158 УК РФ за кражу, совершенную с банковского счета, а равно в отношении электронных денежных средств (при отсутствии признаков преступления, предусмотренного статьей 159.3 УК РФ).

Аналогичным образом, с целью усиления уголовной ответственности за противоправные действия с использованием электронных средств платежа, изменены диспозиции и санкции статей 159.3 и 159.6 УК РФ.

Зачастую в совокупности с ними совершаются преступления в сфере компьютерной информации или так называемые киберпреступления, которые на практике нередко используются в качестве инструментария завладения чужим имуществом.

В целях борьбы с компьютерной преступностью в УК РФ предусмотрена ответственность за ряд специальных составов, криминализирующих такие деяния, как: неправомерный доступ к охраняемой законом компьютерной информации (ст.

272 УК РФ), создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ); нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст.

274 УК РФ), а также неправомерное воздействие на критическую информационную инфраструктуру РФ (ст. 274.1 УК РФ).

Верхневилюйский район не является исключением из общей тенденции роста числа указанных криминальных посягательств. Количество подобных хищений с каждым годом увеличивается. Преступления данной категории ежедневно регистрируются правоохранительными органами области. Только за истекший 2020 год на территории района зарегистрировано 19 таких преступлений, в предыдущем году – 2.

Подавляющее большинство анализируемых хищений совершается с применением методов «социальной инженерии», то есть доступа к информации с помощью телекоммуникационных сетей для общения с потерпевшими (сотовой связи, ресурсов сети Интернет).

Технология основана на использовании психологических слабостей человека и является достаточно эффективной.

Например, преступник может позвонить человеку, являющемуся пользователем банковской карты (под видом сотрудника службы поддержки или службы безопасности банка), и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе или с банковским счетом, зачастую дезинформируя о его блокировке.

Распространенный характер носят хищения, связанные с другим способом обмана доверчивых граждан.

Преступники, представляясь близкими родственниками (знакомыми) потерпевших, просят о передаче или перечислении электронным платежом определенной суммы денежных средств для разрешения сложившейся в их жизни неблагоприятной ситуации.

К примеру, в связи с необходимостью освобождения их от уголовной ответственности. Нередко злоумышленники сами представляются сотрудниками органа правопорядка.

Дистанционные хищения совершаются посредством размещения на открытых сайтах в сети Интернет заведомо ложных предложений об услугах и продаже товаров за денежное вознаграждение, которое в дальнейшем перечисляется на банковский счет виновного лица.

Денежные средства неправомерно списываются со счетов потерпевших, когда в руки преступников попадают их мобильные телефоны с установленными на них банковскими сервисами. То же самое касается и банковских карт: похитителями совершаются покупки путем оплаты товаров бесконтактным способом, при наличии пароля доступа – деньги снимаются в банкоматах.

Так называемый фишинг — тоже техника «социальной инженерии», направленная на получение конфиденциальной информации.

Обычно злоумышленник посылает потерпевшему e-mail, подделанный под официальное письмо – от банка или платежной системы – требующее «проверки» определенной информации, или совершения определенных действий.

Это письмо как правило содержит ссылку на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести необходимую для преступников информацию – от домашнего адреса до пин-кода банковской карты.

Социальная инженерия используется также для распространения троянских коней: эксплуатируется любопытство, либо алчность объекта атаки. Злоумышленник направляет e-mail, sms-сообщение или сообщение в мессенджере, во вложении которого содержится, например, важное обновление антивируса.

Также это может быть выгодное предложение о покупке со скидкой или сообщение о фиктивном выигрыше с приложенной ссылкой при переходе по которой на устройство пользователя скачивается вредоносная программа.

После чего преступник получает удаленное управление и возможность осуществления перечисления денежных средств со счета привязанной к абонентскому номеру банковской карты.

Такая техника остается эффективной, поскольку многие пользователи, не раздумывая кликают по любым вложениям или гиперсылкам. Особенно это актуально в связи с глобальной цифровизацией общества, которая затрагивает и социально уязвимые слои населения, например, пожилых людей, испытывающих сложности при освоении современной техники, а также страдающих излишней доверчивостью.

Преступники реализуют множество других способов и инструментов для завладения чужими деньгами: используют дубликаты сим-карт потерпевших, а также устройства-скиммеры, считывающие информацию, содержащуюся на магнитной полосе банковской карты для последующего изготовления ее дубликата. Рассылают в социальных сетях со взломанных страниц пользователей сообщения их знакомым с просьбами одолжить деньги, внедряют вредоносные ПО в системы юридических лиц, похищают электронные ключи и учетные записи к нему в офисах организации и т.д.

Необходимо отметить, что криминальные методы «удаленного» хищения денежных средств постоянно эволюционируют, при этом преступниками активно используются современные IT-технологии, которые зачастую просты в использовании и доступны неограниченному числу пользователей глобальной сети.

Для создания препятствий правоохранительным органам для раскрытия подобных преступлений злоумышленники: меняют сотовые телефоны, места своего нахождения; оформляют сим-карты и открывают счета в банках на подставных лиц; используют анонимные электронные кошельки и предоплаченные банковские карты, Proxy-серверы и различные программы, скрывающие фактические IP-адрес и место нахождения, привлекают лиц, не осведомленных о противоправности их действий, применяют другие способы конспирации. Это касается не только хищений, но и преступлений в сфере компьютерной информации. При этом данные преступления носят скоротечный, многоэпизодный (серийный), и трансграничный характер.

С учетом отмеченной специфики возникают значительные трудности при их раскрытии.

В целях пресечения указанных видов преступлений просим всех жителей и гостей Верхневилюйского района быть предельно внимательными при осуществлении банковских операций с использованием сети «Интернет» и мобильных телефонов. Не поддавайтесь на уловки мошенников и всегда перепроверяйте полученную информацию.

Ст.274.1 УК РФ. Взгляд Института законодательства и сравнительного правоведения при Правительстве РФ

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе «ЧаВо по КИИ» на главной странице блога.

Трунцевский Юрий Владимирович, ведущий научный сотрудник отдела методологии противодействия коррупции Института законодательства и сравнительного правоведения при Правительстве Российской Федерации, доктор юридических наук, профессор.

   В Уголовный кодекс включена специальная ст. 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», подследственность уголовных дел по которой (наряду со ст. ст. 272, 273 и 274) передана ФСБ России, а также следователям органа, выявившего эти преступления (ч. 5 ст. 151 УПК РФ).

Данные изменения вступили в силу с 1 января 2018 г., и пока какая-либо судебная практика по преступлениям, описанным в ч. ч. 3 — 5 ст. 274.1 УК РФ, отсутствует .   Части 3 — 5 ст. 274.1 УК РФ распространяются на владельцев/эксплуатантов КИИ.

Санкции за совершение данных деяний предусматривают, с учетом различных квалифицирующих признаков, такие наказания, как штраф, принудительные работы, лишение свободы с лишением права занимать определенные должности или заниматься определенной деятельностью.   Объектом преступления (ч. ч. 3 — 5 ст. 274.

1 УК РФ) выступают общественные отношения по обеспечению правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в вышеуказанных системах, а также правил доступа к указанным объектам.   Предметом преступления (ч. ч. 3 — 5 ст. 274.

1 УК РФ) являются КИИ России; информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, сети электросвязи, относящиеся к КИИ Российской Федерации.

Под КИИ понимаются ИТ-системы государственных и коммерческих организаций, сбои в которых (в том числе в результате хакерских атак) могут привести к тяжелым социальным, политическим, экологическим и прочим последствиям.   Термин «критическая» относится к инфраструктуре, которая при выведении из строя или разрушении приведет к катастрофическому и далеко идущему ущербу. Критическая инфраструктура страны обеспечивает ключевые услуги, которые лежат в основе российского общества.

   Понятие критической информационной инфраструктуры Российской Федерации содержится в п. 6 ст. 2 Закона о безопасности КИИ; информационной системы — в ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» ; информационно-телекоммуникационной сети — в п. 4 ст. 2 Федерального закона от 27 июля 2006 г.

N 149-ФЗ «Об информации, информационных технологиях и о защите информации»; автоматизированной системы управления — в п. 1 ст. 2 Закона о безопасности КИИ; сети электросвязи (средства связи) — в п. 28 ст. 2 Федерального закона от 7 июля 2003 г. N 126-ФЗ «О связи».

   Информационная среда КИИ представляет собой совокупность вычислительных и информационных ресурсов, образующих автоматизированную систему управления технологическими процессами критически важных объектов (АСУ ТП КВО).

При этом вычислительные ресурсы формируются системой локальных вычислительных сетей, других программных средств и средств вычислительной техники и могут быть использованы для организации распределенных вычислений (например, при моделировании сложных социальных и физических процессов, дешифровке зашифрованного кода).

  Телекоммуникационная среда КИИ образуется совокупностью телекоммуникационных устройств; линий связи и каналообразующего оборудования; систем открытых протоколов обмена информацией между телекоммуникационными устройствами; глобальной системы цифровых адресов и доменных имен (цифровых идентификаторов); программного обеспечения, реализующего алгоритмы, методы и процессы телекоммуникационной связи на основе протоколов взаимодействия локальных вычислительных сетей и предоставляющего доступ к ним и иным средствам автоматизированной обработки информации.   Субъектами КИИ согласно п. 8 ст. 2 Закона о безопасности КИИ являются государственные органы и учреждения, российские юридические лица и (или) индивидуальные предприниматели. Данным субъектам на праве собственности, аренды или на ином законном основании должны принадлежать информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления. Такие объекты должны функционировать в следующих сферах: здравоохранение, наука, транспорт, связь, энергетика, банковская и иные сферы финансового рынка, ТЭК, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Субъектами КИИ также являются российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.  Объективная сторона рассматриваемых составов преступления (ч. ч. 3 — 5 ст. 274.1 УК РФ) выражается в неправомерном воздействии на КИИ РФ путем:-нарушения правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в ней, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к КИИ РФ;-нарушения правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи.  Такие деяния могут совершаться в форме как активного действия, так и бездействия в отношении соблюдения указанных правил эксплуатации или доступа.

   Характерный пример преступного бездействия — неустановка обновлений программного обеспечения. Работник субъекта КИИ должен провести анализ угроз и принять дополнительные меры защиты от этих угроз.

Если в результате расследования компьютерного инцидента выяснится, что доступ произошел благодаря уязвимости, устраняемой посредством обновления компьютерных программ, которое на тот момент было доступным для соответствующей организации, невыполнение этих требований будет являться признаком объективной стороны преступления, предусмотренного ст. 274.1 УК РФ. Судебная практика по уголовным делам в сфере компьютерных преступлений показывает, что субъектом такого преступления становится ИТ-персонал, если эти нарушения совершены им самовольно в нарушение политики информационной безопасности, принятой в организации, в том числе руководители организации, если ИТ-персонал действовал по их приказу или в его отсутствие при наличии необходимости издания соответствующего распоряжения.  По конструкции состав преступления материальный, предусматривает наступление общественно опасных последствий (как момента окончания преступления) — вреда критической информационной инфраструктуре Российской Федерации (ч. ч. 3 — 4 ст. 274.1 УК РФ) и тяжких последствий (ч. 5 ст. 274.1 УК РФ).

    То есть законодатель логично ставит ответственность в зависимость от наступления общественно опасных последствий преступления, но при этом не устанавливает правил по определению размера тяжести такого вреда, оставляя данный вопрос на стороне судебной системы, которая, в свою очередь, получает возможность трактовать данное положение уголовного закона довольно широко, самостоятельно определяя порог размера малозначительности причиняемого вреда.

   Согласно п. 19 Постановления Пленума ВС РФ от 29 ноября 2016 г. N 55 «О судебном приговоре» квалификация преступления по той или иной статье уголовного закона, ее части либо пункту должна быть мотивирована судом. Это относится к признанию подсудимого виновным в совершении преступления по таким оценочным признакам, как существенный вред, тяжкие последствия. При этом суды не могут ограничиваться лишь указанием на подобный признак, а в описательно-мотивировочной части приговора обязаны привести обстоятельства, которые послужили основанием для вывода о наличии в содеянном такого признака. Размер вреда — признак оценочный и определяется судом в каждом конкретном случае. В рассматриваемой статье УК РФ вред причиняется критической информационной инфраструктуре Российской Федерации. В соответствии с п. 6 ст. 2 Закона о безопасности КИИ критическую информационную инфраструктуру составляют ее объекты, а также сети электросвязи, которые используются при организации взаимодействия этих объектов. В связи с этим вред может носить либо материальный (физический), либо организационный (технологически-эксплуатационный) характер, выразившийся в нарушении и (или) прекращении функционирования объекта КИИ, сети электросвязи, которая используется при организации взаимодействия таких объектов, либо в нарушении безопасности информации, обрабатываемой таким объектом, в том числе если это произошло посредством компьютерной атаки (компьютерный инцидент).    Анализ судебной практики по преступлениям, имеющим материальный состав, показывает, что единого подхода к определению понятия «тяжкие последствия» с точки зрения их размера в денежном выражении не выявлено — в каждом случае суд должен установить размер вреда / тяжесть последствий исходя из обстоятельств дела, а также в контексте существующей правоприменительной практики и неопределенности толкования размеров ущерба точно определить категорию последствия часто представляется крайне сложной задачей.

   Исходя из того, что данный признак последствий является особо квалифицированным и помещен в ч. 5 ст. 274.1 УК РФ, можно заключить, что «тяжкие последствия» включают более опасные последствия, чем «вред» КИИ, закрепленный в ч. 3 данной статьи.

    Тяжкие последствия (ч. 5) в отличие от вреда (ч. 3) могут распространяться как на объекты КИИ, так и на деятельность субъектов КИИ. Такие последствия могут иметь значение для безопасности КИИ — защищенности, обеспечивающей ее устойчивое функционирование при проведении в отношении ее компьютерных атак, в том числе противоправном нарушении эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации). Например, причинение организации (субъекту КИИ) материального ущерба, репутационного вреда или возникновение иных негативных для нее последствий; нарушение технологических и бизнес-процессов организации.    В случае с КИИ тяжкие последствия не должны ограничиваться материальным ущербом, например при остановке воздушного сообщения можно говорить о наступлении тяжких последствий, учитывая критерий массовости, т.е. когда нарушаются права и свободы большого количества субъектов права, когда в результате компьютерного инцидента появляются пострадавшие люди, которые не смогли вовремя вылететь из аэропорта, лишились билетов, самолеты не смогли сесть на аэродром и т.п. В случае отказа системы и, как следствие, прерывания какого-то технологического процесса (например, атомной электростанции) финансовые и другого рода потери будут исчисляться в миллиардах рублей.    Одновременно с этим к тяжким последствиям можно отнести гибель и серьезные травмы людей, разрушения и уничтожение информационной инфраструктуры, нанесение вреда безопасности государства и т.д. То есть тяжесть последствий должна определяться с учетом причинения (или реальности созданной угрозы) тяжкого вреда здоровью людей или смерти, материального ущерба, серьезного нарушения деятельности предприятий, аварий и катастроф, уничтожения, блокирования, модификации или копирования привилегированной информации особой ценности .   Субъект (исполнитель) рассматриваемых составов преступлений — специальный: это вменяемое лицо, достигшее возраста 16 лет, имеющее доступ к КИИ РФ либо к относящимся к ней объектам в силу выполнения служебных обязанностей по исполнению установленных правил эксплуатации и доступа к КИИ РФ.

   Под лицами, использующими свое служебное положение, в ч. 4 ст. 274.1 УК РФ следует понимать лиц, осуществляющих организационно-распорядительные или административно-хозяйственные обязанности в организации, иных лиц .

В организации признаками такого лица могут обладать: руководители организации или ее подразделений и работники, уполномоченные на решение задач по информационной безопасности, а также иные лица, выполняющие на основании гражданско-правовых договоров задачи по обеспечению безопасности КИИ.

   Исходя из того, что к субъектам КИИ относятся российские юридические лица, которым принадлежат данные системы, в случае передачи ими КИИ на баланс аутсорсинговой компании, сделавшая это, например, нефтяная компания под определение субъекта КИИ не подходит, и поэтому ее сотрудники (руководители) не могут быть исполнителями преступления, предусмотренного ч. 3 ст. 274.1 УК РФ. Вместе с тем, если такая организация передала КИИ на аутсорсинг, но у нее остались компьютеры, через которые можно удаленно подключаться к КИИ, ее следует считать субъектом КИИ, а ее сотрудников — субъектами рассматриваемых преступлений, несмотря на то что непосредственно соответствующей КИИ она не владеет.   С субъективной стороны деяние, описанное в ч. 3 ст. 274.1 УК РФ, характеризуется виной как в форме умысла, так и неосторожности — невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, что повлекло причинение ему вреда. Такая трактовка форм вины связана с тем, что нарушения штатного режима функционирования АСУ ТП КВО могут быть следствием как ошибок в работе ее систем и устройств, так и целенаправленного воздействия на АСУ ТП КВО, т.е. важно учитывать причины возникновения нарушений. Лицо предвидит причинение вреда КИИ в результате нарушения им правил эксплуатации (доступа), но без достаточных к тому оснований самонадеянно рассчитывает на предотвращение возможного наступления последствий, либо не предвидит их, хотя при должной осмотрительности и внимательности это лицо должно было и могло их предвидеть.

   Таким образом, анализ признаков составов преступлений, предусмотренных ч. ч. 3 — 5 ст. 274.1 УК РФ, позволил сформулировать положения по квалификации неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации ее владельцами и эксплуатантами. Так, диспозиция ч.

3 данной статьи включает противоправные деяния в форме как активного действия, так и бездействия в отношении соблюдения правил эксплуатации и доступа к объектам КИИ. Обязательным признаком составов рассматриваемых преступлений является наступление общественно опасных последствий: причинение вреда КИИ РФ (ч. ч.

3 и 4) и тяжкие последствия, имеющие значение для ее безопасности (ч. 5).

Субъект (исполнитель) данного преступления — специальный (владелец/эксплуатант КИИ), имеющий доступ к КИИ РФ либо к относящимся к ней объектам в силу исполнения своих служебных обязанностей и обязанный исполнять установленные правила эксплуатации, доступа к КИИ.

Библиографический списокКапустин А.Я. К вопросу о международно-правовой концепции угроз международной информационной безопасности // Журнал зарубежного законодательства и сравнительного правоведения. 2017. N 6.Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации. URL: https://genproc.gov.ru/documents/nauka/execution/document-104550/.Трунцевский Ю.В. Киберпреступления в корпоративной среде: риски, оценка и меры предупреждения // Российский следователь. 2014. N 21.Хабриева Т.Я. Право перед вызовами цифровой реальности // Журнал российского права. 2018. N 9.Хабриева Т.Я., Черногор Н.Н. Право в условиях цифровой реальности // Журнал российского права. 2018. N 1.Черемисинова М.Е. О формировании системы обеспечения безопасности критической информационной инфраструктуры Российской Федерации. URL: http://comitasgentium.com/ru/о-формировании-системы-обеспечения-б/.

Шувалов И.И., Хабриева Т.Я., Цзинжу Фэн и др. Киберпространство БРИКС: правовое измерение: Монография / Отв. ред. Д. Руйпин, Т.Я. Хабриева; сост. Жун Фу, Н.М. Бевеликова. М., 2017.