Уголовные дела о неправомерном воздействии на критическую информационную инфраструктуру РФ
Статья посвящена судебной практике по уголовным делам о неправомерном воздействии на критическую информационную инфраструктуру РФ.
2024: Инженер «дочки» «Россетей» удаленно со своего ноутбука отключил электроснабжение в 38 населенных пунктах
Кирилловский окружной суд Вологодской области в конце апреля вынес приговор[1] 48-летнему инженеру 1 категории за отключение от электроснабжения 38 населенных пунктов в Бабаевском, Устюженском, Шекснинском муниципальных образованиях Вологодской области, где находились в том числе и промышленные предприятия. Действия осуждённого привели к нарушению нормальной работы предприятий электроэнергетики и причинению вреда критической информационной инфраструктуре РФ.
В соответствии с материалами дела работник ПАО «Россети Северо-Запад» в зимний период — 18 февраля 2023 года — с помощью специального программного обеспечения, запущенного в удалённом режиме со своего личного ноутбука, изменил настройки контроллера воздушных линий, что привело к выводу их из строя. Кроме того, он отключил возможность дистанционного управления контролёром, которой как раз и воспользовался для вывода их из строя, что затруднило восстановительные работы.
Суд признал инженера виновным по четвёртой части статьи №274.1 УК РФ, которая карает за неправомерное воздействие на критическую информационную инфраструктуру РФ, лицом с использованием своего служебного положения. Нарушитель приговорён к наказанию в виде 2 лет лишения свободы условно с испытательным сроком 1,5 года и конфискации личного ноутбука подсудимого, с помощью которого совершено преступление.
Следует отменить, что в тот период времени в Вологодской области было зафиксировано достаточно много случаев аварий на сетях энергоснабжения. В частности, есть сообщения об отключении некоторых населённых пунктов 22 октября 2022 года, 9 января, 15, 18 и 19 февраля 2023 года. Однако, не совсем понятно является причиной этих аварий саботаж или низкие температуры. Например, 9 января температура в Вологодской области опустилась до минус 42 градусов.
2023
Кого и как сажают по уголовным делам о КИИ. Анализ судебной практики
Начальник отдела обеспечения осведомлённости управления информационной безопасности ДИТ Москвы Валерий Комаров проанализировал практику судебных дел по 187-ФЗ «О безопасности критической информационной инфраструктуры РФ». Результатами он поделился на отраслевом форуме в начале октября 2023 года. Уже накопилась достаточная для анализа база таких дел – их более сотни.
Валерий Комаров напомнил, что на момент, когда принимался 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», был пакет из трёх ФЗ: кроме самого закона о безопасности КИИ, отдельным законом принимались изменения в Уголовный кодекс и вводился соответствующий состав преступлений и изменения в закон о гостайне. А дополнительно в 2021 году приняли изменения в 141-ФЗ в Кодекс административных правонарушений. Рынок IIoT в РФ: рост или тупик?
Административная ответственность уже широко применяется в стране. ФСТЭК и ФСБ имеют право налагать штрафы по КоАП. И, согласно данным ФСТЭК от сентября 2023 года, в отношении 900 субъектов КИИ были проведены проверки, в 600 субъектах КИИ выявлены существенные нарушения требований по обеспечению безопасности КИИ, не устранённые за время проверки, и выданы предписания на устранение нарушений. А в отношении 40 субъектов КИИ были приняты меры по привлечению к административной ответственности.
Анализ судебных решений показал, что для дел в этой сфере характерен однотипный состав преступлений по разным субъектам КИИ: например, сотрудники операторов сотовой связи «пробивают» данные абонентов. Используя служебный доступ, они получают информацию о клиентах и передают её преступникам.
Также можно увидеть, что на однотипные способ совершения и характер преступления разные суды совершенно по-разному дают характеристику и квалификацию – правомерный был доступ к защищаемой информации или нет во время совершения преступления. Одни и те же действия одни суды квалифицируют как неправомерный доступ, а другие – как правомерный. То же касается и умышленности: часть судов освобождает от уголовной ответственности в связи с составом умысла совершения преступления, а часть никак умысел не учитывает и не исследует.
При этом в законодательстве и Уголовном кодексе отсутствует такое понятие, как «вред критической информационной инфраструктуре», в отличие от «классических» статей о компьютерных преступлениях, где есть понятия «ущерба», «крупного ущерба». Поэтому суды совершенно по-разному трактуют, что является вредом КИИ, отмечает Валерий Комаров.
85% приговоров проанализированных судебных дел вынесены в отношении работников субъектов КИИ, а на внешних нарушителей пришлось только 15%. Среди работников, привлекаемых по статье 271.4 УК РФ, большинство проходят по ч.4 этой статьи – когда преступление совершено группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения.
В 50% дел, когда человек признан виновным, уголовное наказание заменяется штрафом. А среди сфер деятельности по привлечению работников субъектов КИИ к уголовной ответственности лидируют связь и здравоохранение.
Начальник отдела обеспечения осведомлённости управления информационной безопасности ДИТ Москвы озвучил ряд предложений. Одно из них – привлекать к ответственности по ч.3. ст. 271.4 УК РФ, которая касается нарушения правил эксплуатации, применяя её только к значимым объектам КИИ. А за объекты КИИ без категории значимости привлекать к административной ответственности. Речь при этом о работниках, которых сейчас привлекают, а не о внешней преступности, уточнил Валерий Комаров.
И второе предложение – точно определить, что такое «вред КИИ». Это необходимо для недопущения произвольного толкования норм уголовного права.
Первоначально 187-ФЗ охватывал 13 сфер КИИ, в 2023 году добавилась ещё одна – регистрация прав недвижимости. А сейчас в Госдуме находится законопроект, рассмотрение которого запланировано на ноябрь: он добавляет ещё две сферы – социального обеспечения и образования. На этот законопроект уже поступил отрицательный отзыв правительства РФ, уточнил Валерий Комаров.
Консультант мобильной связи нарушила уголовную статью о КИИ, пытаясь выполнить план Tele2
Криминальная история произошла в центре продаж и обслуживания абонентов Tele2 в Пскове: продавец-консультант оформила две SIM-карты на человека без его ведома и за это была осуждена по ст. 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру РФ).
Как следует из опубликованного приговора Псковского городского суда Псковской области по этому уголовному делу[2], вступившему в силу в августе 2023 года, осуждённая Никитина А.А. была принята на работу на должность продавца-консультанта в центр продаж и обслуживания абонентов Tele2 к ИП – дилеру на территории Пскова и Псковской области, действующему на основании агентского договора в интересах «Санкт-Петербург Телеком» (Псковский филиал).
Она была ознакомлена с должностной инструкцией продавца-консультанта, согласно которой оформление договоров об оказании услуг связи, приём и обработка заявлений от абонентов возможны только по документу, удостоверяющему личность клиента. При этом сотрудник несёт уголовную ответственность, если подключение, приём заявления осуществляются без документов.
Управляющая компания «Санкт-Петербург Телеком» – «Т2 Мобайл» – является субъектом КИИ, которому принадлежат ИТ-системы и телеком-сети, в том числе АИС расчетов Billing Plus и WebDealer, которые, в свою очередь, являются объектами КИИ в соответствии с реестром значимых объектов КИИ РФ и содержат охраняемую законом компьютерную информацию, составляющую тайну связи и персданные граждан, указано в приговоре.
В 2021 году Никитина А.А., находясь на рабочем месте, используя своё служебное положение, действуя от имени оператора сотовой связи «Т2 Мобайл», нарушила правила эксплуатации средств хранения, обработки охраняемой компьютерной информации, содержащейся в КИИ, информационных систем, относящихся к КИИ, правил доступа к указанным системам, путём внесения в АИС Billing Plus через интерфейс АИС WebDealer сведений о регистрации двух SIM карт. Карты были оформлены на паспортные данные гражданки, не осведомлённой о действиях Никитиной А.А.: она не присутствовала в центре продаж и обслуживания абонентов Tele2 при регистрации и не давала в любой форме согласия на данные действия.
Более того, гражданка, на которую были оформлены SIM-карты, заявила, что в салоны сотовой связи Tele2 она вообще никогда не обращалась.
Таким образом, счёл суд, Никитина А.А. нарушила требования ряда пунктов 126-ФЗ «О связи», постановления правительства РФ № 1342 «О порядке оказания услуг телефонной связи» и «нанесла вред КИИ» – АИС Billing Plus, принадлежащей на праве собственности «Т2 Мобайл». Вред, в частности, «выразился в модификации информации, содержащейся в базе данных указанной АИС, в результате чего информация, циркулирующая в ней, перестала соответствовать объективности, достоверности и актуальности».
На суде Никитина А.А. свою вину в совершении преступления признала полностью, в содеянном раскаялась, указано в приговоре. При этом она пояснила, что ввиду необходимости выполнения планов по подключению новых абонентов, переходу клиентов из других сотовых компаний она и подключила нового абонента с двумя SIM-картами к оператору сотовой связи Теле2 без его личного присутствия и предоставления документов. Сразу после оформления SIM-карт она их выбросила и никому не передавала. А о совершённом преступлении Никитина А.А. указала в явке с повинной.
Один из свидетелей на суде подтвердил, что часть заработной платы продавцов зависит от количества подключенных абонентов.
Суд признал Никитину А.А. виновной в совершении преступления по ч. 4 ст. 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру РФ с использованием своего служебного положения), и назначил ей более мягкое наказание, чем предусмотрено за это преступление – 1 год лишения свободы условно с испытательным сроком на 1 год.
Стандартное наказание по этой части статьи составляет от 3 до 8 лет лишения свободы.
Уволился и удалил файлы. Бывший сисадмин оборонного предприятия оспаривает приговор о воздействии на критическую инфраструктуру
Как выяснил TAdviser, в июле 2023 года бывший ведущий инженер-программист – администратор вычислительной сети оборонного предприятия, расположенного во Владимирской области, во второй раз попытался оспорить вынесенный ему в прошлом году приговор по ч.2 ст. 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру РФ). В соответствии с приговором Ковровского городского суда Владимирской области, Д.Б. Белослюдцеву было назначено наказание в 1 год и 6 месяцев лишения свободы условно с испытательным сроком 2 года и со штрафом в 300 тыс. рублей.
В опубликованном приговоре упоминается ВНИИ «Сигнал» (входит в ГК «Ростех»), который является субъектом КИИ РФ, «поскольку осуществляет деятельность в сферах науки и оборонной промышленности», а принадлежащие предприятию на праве собственности, аренды или на ином законном основании информационные системы, сети и автоматизированные системы управления являются объектами КИИ РФ.
Как следует из приговора[3], согласно должностной инструкции ведущего инженера-программиста – администратора вычислительной сети, Д.Б. Белослюдцев, в том числе: обеспечивал бесперебойное функционирование информационно-вычислительной сети (далее – ИВС) предприятия, абонентских мест интернета, email, вычислительной техники и ПО; принимал меры по восстановлению работоспособности ИВС при сбоях или выходе из строя серверов, сетевого оборудования и ПО.
Кроме того, он обеспечивал установку ПО на серверы и рабочие станции и их поддержку в рабочем состоянии; безопасность сетевую и межсетевого взаимодействия; регистрировал пользователей ИВС и почтового сервера, назначал идентификаторы и пароли; устанавливал права доступа на информационные ресурсы и контролировал их использование; организовывал доступ к локальным и глобальным сетям; обеспечивал сохранность и конфиденциальность информации.
В какой-то момент трудовой договор с Д.Б. Белослюдцевым был расторгнут по инициативе самого работника. Как установил суд, позже, в феврале 2020 года, Д.Б. Белослюдцев, используя учетные записи двух других сотрудников и пароли к ним, ставшие известными ему в связи с осуществлением трудовой деятельности в компании и выполнением обязанностей сисадмина вычислительной сети предприятия, незаконно подключился удалённо к объекту КИИ – информационным ресурсам предприятия.
Он уничтожил папку «Служебные раследования» (в наименовании папки имелась орфографическая ошибка), хранившуюся на файловом ресурсе в каталоге Бюро экономической и информационной безопасности и содержавшую проекты и копии документов, составленных в ходе служебных проверок, проведенных на предприятии в определённый период. Эти документы относятся к служебным документам с ограниченным доступом.
И этим дело не ограничилось. Чтобы исключить возможность восстановления уничтоженной компьютерной информации, бывший сотрудник также удалил системные файлы из каталога на одном из информационных ресурсов предприятия. Тем самым была заблокирована работа ПО, обеспечивающего управление резервным копированием и восстановлением данных.
Уничтожение компьютерной информации, содержавшейся в папке со служебными расследованиями, а также системных файлов ПО резервного копирования данных повлекло существенное затруднение работы профильного подразделения – БЭиИБ, обусловленное безвозвратной утратой комплекса данных, отрицательно отразилось на выполнении работы по обеспечению экономической и информационной безопасности предприятия, являющегося субъектом КИИ РФ, говорится в приговоре.
Из приговора также следует, что Д.Б. Белослюдцеву было известно о проведении службой безопасности в отношении него служебной проверки по факту продажи модулей памяти через один из сервисов. Один из свидетелей на суде сказал, что при проведении одной из ежегодных ревизий имущества предприятия была установлена недостача ряда комплектующих к компьютерам, жестких дисков. Была проведена служебная проверка, и возникли вопросы к Д.Б. Белослюдцеву.
После увольнения с оборонного предприятия Белослюдцев планировал пройти процедуру трудоустройства в компанию, где проверяли, в том числе, информацию о судимостях соискателя и наличие в отношении него иной компрометирующей информации. А посему он полагал, что, удалив все данные этой служебной проверки с файлового ресурса предприятия, где работал ранее, исключит для себя все негативные последствия, которые не позволили бы ему трудоустроиться.
В судебном заседании Д.Б. Белослюдцев вину не признал и сообщил, что при увольнении у него сложились напряженные отношения с руководством предприятия, в связи с чем, считает он, у последних имеется на него обида и злоба. Он также заявил, что только при предъявлении ему обвинения по данному уголовному делу узнал, что предприятие является субъектом КИИ со ссылкой на то, что ни в одном из совещаний по тематике КИИ он не участвовал, и никто до него данную информацию не доводил. Также он не знал, что данное предприятие является оборонным.
Д.Б. Белослюдцев подал уже две жалобы на приговор, просит его отменить. Последняя из жалоб, кассационная, рассматривалась в июле 2023 года во Втором кассационном суде общей юрисдикции[4], и приговор был оставлен в силе.
Среди аргументов в защиту своей позиции Белослюдцев, в том числе, утверждает, что его умыслом не охватывалось причинение вреда информационной системе предприятия, о принадлежности которого к КИИ РФ ему не было известно. Он лишь желал удаления порочащей его деловую репутацию информации по результатам проведённой в отношении него служебной проверки.
Апелляционная и кассационная инстанции, тем не менее, оставили приговор в силе. Единственное - апелляционная инстанция исключила ссылку на объяснение Д.Б. Белослюдцева от июня 2020 года как на доказательство его вины.
В приговоре было указано, что Белослюдцев работает ведущим специалистом отдела ИТ-инфраструктуры. Название ООО, где он занимает эту должность, в опубликованном документе не раскрывается.
Хотел заменить Cisco и сэкономить. За что осудили по статье УК сисадмина оборонного предприятия
В августе 2023 года в СМИ и блогах «всплыла» история системного администратора Есина Е.А. которого в начале года Кировский районный суд г. Самары признал виновным по ч. 3 ст. 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации) и приговорил к 1,5 годам условно[5]. TAdviser ознакомился с этим приговором, а также узнал, что в мае 2023 года состоялось рассмотрение апелляционной жалобы на приговор, в результате чего он был смягчён.
В приговоре, опубликованном на сайте Кировского районного суда г. Самары, указано, что Есин А.Е., исходя из функциональных должностных обязанностей, являлся сетевым системным администратором. Он работал в бюро эксплуатации сетевой инфраструктуры на одним из ведущих ракетно-космических предприятий оборонно-промышленного комплекса, которое участвует в исполнении гособоронзаказа в части производства ракет-носителей и изготовления космических аппаратов различного назначения. В приговоре, в частности, упоминается РКЦ «Прогресс», это предприятие входит в состав «Роскосмоса».
Как установил суд, в июле 2020 года, будучи осведомленным о действующих на предприятии правилах работы в информационно-вычислительной сети (ИВС), установленных специальным положением «О порядке работы в ИВС», Есин А.Е. решил в нарушение правил доступа и эксплуатации организовать подключение АРМ – виртуальной рабочей станции из закрытого внутреннего диапазона ИВС предприятия – к интернету, чтобы загрузить и установить на АРМ софт, предназначенный для аутентификации устройств пользователей в сети.
Упомянутое положение «О порядке работы в ИВС» устанавливает запрет на подключение к АРМ модемов, мобильных телефонов, средств беспроводной связи и иных средств связи и передачи данных; запрет на подключение АРМ с помощью таких средств к интернету, а также запрет на самовольную установку, переустановку ОС и ПО и самовольное добавление или удаление компонентов АРМ.
Как рассказал на суде сам Есин Е.А., примерно с 2018 года перед отделом, в котором он работал, стояла задача внедрения сервиса аутентификации устройств предприятия. А перед ним данную задачу примерно в июле 2020 года поставил его непосредственный начальник, который впоследствии проходил по делу одним из свидетелей.
Подбор ПО осуществлялся, как предполагает Есин, «на каком-то совещании руководителей», а непосредственно ему поручили работу с free-RADIUS – необходимо было сделать и сдать в эксплуатацию. Конкретных указаний, как именно выполнять эту работу, какие шаги предпринять, ему не разъяснялось, поэтому он выполнил поставленную задачу по собственному усмотрению, как посчитал возможным.
К задачам free-RADIUS относится решение вопроса сегментации – распределения устройств отделов по нужным сетям. Ранее на предприятии для этого применялось ПО CiscoACS с достаточно широким функционалам, которое приобреталось вместе с оборудованием CiscoACS. Купить и продлить поддержку этого ПО после 2014 года было нельзя.
Для установки free-RADIUS сисадмин выбрал дистрибутив ОС CentOS8, «как наиболее надежный». Есин Е.А. использовал роутер Mikrotik, который подключил к ИВС предприятия путем физического соединения в шкафу коммутации – т.е. подключил его в стойке к кабелю с доступом в интернет. CentOS8 была скачана из интернета. При этом, с его слов, свой компьютер он физически отключил от ИВС предприятия.
Откуда взялся оптический кабель для выхода в интернет в коммутационном шкафу, ему не известно, слышал, что он использовался в служебных целях сотрудниками соседнего бюро еще до того, как он устроился на работу, к нему был свободный доступ, учитывая, что у шкафа отсутствовали боковые и задние стенки, дверцы не запирались.
В результате действий Есина А.Е. возникли попытки перехвата управления маршрутизатора, подключенного к ИВС предприятия, – попытки подключения иностранных IP-адресов, принадлежащих неизвестным лицам за границей РФ, говорится в приговоре.
Для скачивания установочных файлов free-RADIUS также потребовался выход в интернет. Для этого сисадмин настроил proxy-сервер на маршрутизаторе Mikrotik, чтобы быстро «выпустить» виртуальную машину в интернет и скачать необходимые файлы.
Позже специалист соответствующего отдела РКЦ по просьбе Есина А.Е на кластере серверов, физически расположенных в ЦОД предприятия, состоящих из однотипных серверов (хостов), осуществил создание и настройку виртуального АРМ CentOS8-CA-RADIUS.
Маршрутизатор Mikrotik был подключен около 1-2 недель, находился в режиме ожидания, «отлавливая» всех желающих подключиться к системе предприятия, после чего сисадмин добавил их в черный список, а потом подключался только по мере необходимости, следует из текста приговора. По словам Есина, за 10 лет работы на предприятии он к интернету подключился впервые в целях скачивания и установления ПО CentOS8 free-RADIUS.
Наличие вышеуказанного подключения является потенциальной для эксплуатации уязвимостью сети предприятия, что потенциально может привести к негативным последствиям для объектов КИИ (двух ЦОДов предприятия), говорится в опубликованном приговоре.
В результате противоправных действий Есина А.Е. объекту КИИ РФ (ЦОД РКЦ) нанесен организационный (технологически-эксплуатационный) вред, выразившийся в нарушении безопасности доступа и эксплуатации обрабатываемой и хранящейся компьютерной информации оборонного предприятия, находящейся в КИИ РФ третьей категории значимости, в результате чего создана возможность проникновения внешних злоумышленников в периметр объектов КИИ РФ и нанесения им критического ущерба вплоть до выведения из строя, потери данных и отказа критических для функционирования предприятия процессов, тем самым создана угроза наступления тяжких последствий для ИВС и технологических процессов завода, в том числе срыва сроков исполнения государственного оборонного заказа, - указано в приговоре. |
Кроме того, как установило следствие, Есин организовал удалённый доступ к своему рабочему компьютеру из дома – чтобы работать из дома в нерабочее время, то есть сверхурочно, общался с супругой, находящейся за периметром предприятия, по сети в созданном чате со своего рабочего компьютера. По результатам проверки было установлено, что объекту КИИ был нанесен вред в плане создания канала возможного воздействия на объект КИИ – ЦОД.
Суд счёл, что Есин Е.А. совершил нарушение правил эксплуатации информационно-телекоммуникационных сетей, относящихся к критической информационной инфраструктуре (КИИ) РФ, а также нарушение правил доступа к информационно-телекоммуникационным сетям, что повлекло причинение вреда КИИ РФ.
Есин Е.А. свою вину частично признал. При этом он говорит, что сэкономил предприятию 2,4 млн рублей, заменив CiscoACS на две машины CentOS8 free-RADIUS.
В итоге Есина А.Е. суд признал виновным по ч. 3 ст. 274.1 УК РФ, и назначил ему наказание в виде лишения свободы сроком 1 год и 6 месяцев условно, с применением ч. 1 ст. 64 УК РФ (применение более мягкого наказания, чем предусмотрено за данное преступление), без лишения права занимать определенные должности или заниматься определенной деятельностью.
Также его обязали не менять постоянного места жительства без уведомления специализированного государственного органа, осуществляющего контроль за поведением условно осужденных.
Есин подал апелляционную жалобу на этот приговор, которая была рассмотрена Самарским областным судом в конце мая 2023 года[6].
Апелляционная инстанция отмечает, что суд первой инстанции при вынесении приговора признал смягчающие наказание обстоятельства исключительными, но не применил правило об этих обстоятельствах. К исключительным смягчающим обстоятельствам относится то, что Есин частично признал вину, фактические обстоятельства своего деяния не оспаривал, активно способствовал раскрытию и расследованию преступления, имеет на иждивении малолетнего ребенка и супругу в декрете.
По мнению суда, эти обстоятельства вкупе с желанием выполнить задание руководства по развертыванию сервиса, ограничивающего несанкционированный доступ к ИВС предприятия, а также экономии средств предприятия, и с учетом иных данных о личности подсудимого существенно уменьшают степень его общественной опасности, а, следовательно, являются исключительными.
В связи с этим Самарский областной суд изменил изначальный приговор: вместо лишения свободы условно, Есину были назначены исправительные работы сроком на один год с удержанием 5% из зарплаты в доход государства, и наказание считать условным с испытательным сроком 6 месяцев.
Житель ДНР получил 2 года колонии по ст. 274.1 УК РФ за DDoS-атаки
Ленинский районный суд Ростова-на-Дону приговорил к двум годам колонии-поселения и денежному штрафу в размере 600 тыс. рублей украинца Романа Носачева, который устроил хакерские атаки на российские ресурсы. Об этом в середине августа 2023 года сообщила пресс-служба УФСБ России по Ростовской области.
В ведомстве уточнили, что, проживая в Харцызске в ДНР, фигурант атаковал российские интернет-ресурсы, а также распространял инструкцию по проведению DDoS-атак со ссылками на вредоносное программное обеспечение.
Носачева признали виновным по ч. 1 ст. 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации). Максимальное наказание – до пяти лет лишения свободы.
В июле 2023 года секретарь Совета безопасности Николай Патрушев заявил, что США курируют украинский Центр информационно-психологических операций (ЦИПСО). По его мнению, американские спецслужбы направляют кибератаки «под украинским флагом» на инфраструктуру России. В апреле 2023 года в ФСБ сообщили, что западные страны используют сетевую инфраструктуру Украины для проведения кибератак против России.
Несмотря на то, что в конце 2022 года число DDoS-атак значительно снизилось, эксперты компании StormWall считают, что в 2023 году возможен значительный рост атак на ключевые отрасли. Специалисты ожидают роста числа киберинцидентов до 300% на нефтегазовый сектор и энергетическую отрасль в феврале и марте 2023 года в связи с огромным влиянием этих индустрий на текущую политическую ситуацию в мире.
По мнению экспертов, число кибератак на другие отрасли также будет планомерно расти, при этом DDoS-атаки будут чаще использоваться для маскировки других целевых атак для нарушения работоспособности систем и кражи персональных данных. При этом в данный момент нет причин прогнозировать существенный рост атак на другие индустрии, поскольку атаки политически мотивированных активистов практически прекратились, уточнили в компании.[7]
2022
Астраханец получил 3 года колонии по ст. 274.1 УК РФ за продажу данных сотовых абонентов
Кировский районный суд Астрахани приговорил специалиста офиса продаж сотовой связи к трем годам колонии общего режима за кражу и последующую продажу персональных данных абонентов. Он признан виновным в совершении преступления, предусмотренного ч. 4 ст. 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру РФ). Об этом 1 февраля 2022 года сообщила пресс-служба Прокуратуры Астраханской области.
Судом установлено, что специалист офиса продаж сотовой связи в ноябре 2020 года в нарушение должностной инструкции, трудового договора и приложений к нему, применяя персональный логин и пароль другого специалиста офиса, совершил доступ к информационной системе «Единое окно», позволяющей просматривать персональные данные абонентов мобильной сети, сведения о зарегистрированных на них телефонных номерах, услугах связи, тарифных планах, истребовав карточки двух абонентов. Он скопировал данные и передал их за денежное вознаграждение другому лицу.
Как выяснили сотрудники Управления ФСБ России по Астраханской области, молодой человек познакомился в интернете с неким пользователем, который предложил ему за деньги «сливать» персональные данные абонентов из информационных систем операторов мобильной связи. Но подозреваемый почему то не учел, что за ним могут следить камеры видеонаблюдения. Поэтому момент, когда он фотографировал данные, интересующие заказчика, с экрана монитора и передавал посредством мессенджера попали в кадр и стали доказательством в суде.
Как отмечает Telegram-канал «Утечки информации», это наказание за неправомерный доступ к данным из критической информационной инфраструктуры оказалось на удивление жестким и не типичным для российских реалий. Обычная судебная практика состоит в назначении штрафа и условном лишении свободы.[8][9]
Программиста, подделавшего данные о вакцинации в ИТ-системе, осудили на 3,5 года по статье УК о КИИ
В Дагестане программиста, работавшего в больнице, осудили на 3,5 года условно за подделку сведений о прохождении вакцинации от COVID-19 в информационной системе. Об этом в январе 2022 года сообщили дагестанские СМИ со ссылкой на УФСБ региона.
На основании материалов, собранных УФСБ региона совместно с МВД по Республике Дагестан, было установлено, что в 2021 году программист Кизилюртовской центральной районной больницы Рашид Магомедов осуществлял неправомерный доступ в единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ) и вносил заведомо ложные сведения о вакцинации граждан против COVID-19, которые фактически ее не проходили.
Из приговора по уголовному делу, опубликованному в картотеке Кизилюртовского городского суда Дагестана, следует, что Магомедов вносил фиктивные данные о якобы пройденной вакцинации для себя и нескольких своих родственников в федеральный регистр вакцинированных, который является одним из разделов ЕГИСЗ[10]. Он рассчитывал получить сертификаты о вакцинации COVID-19 с QR-кодом на себя и своих родственников. Данные в регистр программист вносил через браузер Google Chrome, воспользовавшись «учёткой» старшей медсестры поликлиники данной больницы, у которой был доступ к федеральному регистру вакцинированных. Её логин и пароль от учётной записи Магомедов узнал в результате того, как старшая медсестра попросила его настроить компьютер, чтобы при входе в систему логин и пароль вводились автоматически, и Магомедов это реализовал.
Манипуляции с данными о вакцинации вскрылись довольно быстро. Та же старшая медсестра заметила подозрительные данные в регистре и позвонила тёте программиста, чтобы узнать, вакцинировалась ли она по факту, т.к. данные о её вакцинации присутствовали в системе. Тётя заявила, что вакцинацию она не проходила. Оказалось, что племянник-программист не успел сообщить тёте, что зарегистрировал её в регистре вакцинированных, и она об этом не знала. После этого Рашид Магомедов рассказал старшей медсестре всё как есть, «так как что-либо скрывать уже не было смысла», сказано в приговоре. А после этого подключились правоохранительные органы.
Одним из примечательных моментов в этом деле является то, что судили Рашида Магомедова по статье УК РФ 274.1 (неправомерное воздействие на критическую информационную инфраструктуру РФ). В частности, по части 4 этой статьи, подразумевающей, что воздействие было совершено с использованием своего служебного положения.
Максимальное наказание по этой части – до 8 лет лишения свободы. Но суд принял во внимание чистосердечное признание и раскаяние в содеянном, а также положительную характеристику по месту жительства ранее не судимого Магомедова, и ограничился приговором в 3,5 года условно и лишением права заниматься деятельностью в сфере компьютерных технологий на 2 года.
Суд в своём приговоре отмечает, что Минздрав РФ в соответствии с 187-ФЗ является субъектом критической информационной инфраструктуры (КИИ), а ИТ-системы и сети, принадлежащие ведомству, являются её объектами. В свою очередь, сведения федерального регистра вакцинированных являются охраняемой компьютерной информацией, содержащейся в КИИ.
Незаконными действиями Магомедова Р.М. причинен вред критической информационной инфраструктуре РФ в виде нарушения безопасности информации, принадлежащей и охраняемой Минздравом, выразившегося в неправомерном внесении изменений в федерального регистр вакцинированных ЕГИСЗ, говорится в приговоре.
По мнению известного ИБ-эксперта, бизнес-консультанта по безопасности Cisco Systems Алексея Лукацкого, как и в схожих уголовных делах, когда в медицинские информационные системы незаконно вносятся данные о вакцинации, ущерба непосредственно КИИ в данном случае не происходит. Но, предположил эксперт в разговоре с TAdviser, следователи, вероятно, идут по пути наименьшего сопротивления: статью 274.1 УК РФ применить довольно просто и через неё можно дать обвиняемому гораздо больший срок, чем по другим статьям, которые можно было бы применить в данном случае.
Эта статья УК РФ достаточно новая, и я не исключаю, что у правоохранительных органов может быть какой-то план по раскрытию преступлений по этой статье, который они и выполняют. Та же статья применяется, например, к сотрудникам операторов связи, которые крадут информацию о разговорах абонентов и передают её злоумышленникам. Это, на мой взгляд, скорее относится к нарушению тайны связи, переписки или к нарушению законодательства о персональных данных, чем к нарушению законодательства о критической информационной инфраструктуре, - говорит Алексей Лукацкий. |
Но при этом с формальной точки зрения следователи имеют полное право на применение ст. 274.1 УК РФ в подобных случаях, так как есть несанкционированный доступ к информации, которая обрабатывается в критической инфраструктуре, добавил он. Здравоохранение и операторы связи к таковым относятся.
С формальной точки зрения правоохранительные органы правы, но фактически, исходя из духа законодательства о КИИ, всё-таки данная статья УК изначально разрабатывалась для другого и предусматривала наказание для тех, кто своими действиями может привести к нарушению либо к прекращению функционирования критической инфраструктуры. А в случае с внесением данных о вакцинации и кражей абонентских данных этого не происходит, - отметил Лукацкий. |
Эксперт по ИБ Валерий Комаров в своём блоге в посте про это уголовное дело отмечает, что он не понял, в чём в данном случае заключался вред критической информационной инфраструктуре[11].
Всегда думал, что по ст. 274.1 УК РФ наказывается неправомерная модификация информации, повлекшая нанесение вреда КИИ. А здесь получается, что сама по себе модификация уже вред КИИ. Удобно для следствия, конечно. Не надо мучиться с доказательством нанесения вреда, - говорит Комаров. |
Также эксперт задаётся вопросом, как защищается ГИС и ЕГИСЗ как объект КИИ: «Получается, что единственная реализованная мера защиты — логин и пароль пользователя, дальше заходи через веб-интерфейс и вноси любые сведения, главное установить и использовать браузер Google Chrome?».
2021: Рост уголовных дел о кибератаках и другом неправомерном воздействии на КИИ в три раза
В 2021 году в России завели 70 уголовных дел из-за кибератак и другого неправомерного воздействия на критическую информационную инфраструктуру (КИИ — ИТ-системы госорганов, банков, транспорта, топливной и атомной промышленности, энергетики и др.) против 22 годом ранее. Об этом свидетельствуют данные исследования InfoWatch, проведенного с использованием статистики МВД и данных ГАС «Правосудие».
Как сообщает «Коммерсантъ» со ссылкой на этот отчёт, примерно половина уголовных дел, о которых идет речь, касается использования программ, заведомо предназначенных для неправомерного использования на КИИ. Например, по одному из дел работники локомотивных бригад РЖД воспользовались нештатным ПО, чтобы пройти тест на знание техническо-распорядительных актов железнодорожных станций. По другому делу сотрудник Пермского порохового завода скачал нелицензионную версию Microsoft Word, генератор ключа для которой, по версии обвинения, установил канал обмена информацией с «принадлежащим США» IP-адресом. Сотрудника приговорили к году ограничения свободы.
Существенная часть разбирательств касается исков операторов связи к своим сотрудникам: в 75% случаев в 2021 году речь шла об утечках персональных данных пользователей.
Закон о неправомерном воздействии на критическую информационную инфраструктуру Российской Федерации (УК РФ, статья 274.1.) был принят в 2017 году, отредактирован 1 июля 2021 года, и вступил в силу с изменениями и дополнениями 1 декабря 2021-го.
Вице-президент Ассоциации российских детективов, управляющий партнер Intrace Александр Айвазов, объясняя мягкие наказания за направомерное воздействие на КИИ, что российские власти только начинают осознавать всю важность проблемы. Для сравнения: в США размер штрафа зависит от нанесенного ущерба, подчеркнул он.[12]
См. также
Критическая информационная инфраструктура России
Безопасность критической информационной инфраструктуры РФ
Критическая инфраструктура в здравоохранении
Примечания
- ↑ Новости прокуратуры Вологодской области
- ↑ Приговор Псковского городского суда Псковской области от 18 июля 2023 г. по делу N 1-370/2023
- ↑ Приговор по делу № 1-45/2022 (1-471/2021)
- ↑ Кассационное определение по делу 77-2091/2023
- ↑ ДЕЛО № 1-11/2023 (1-168/2022)
- ↑ ДЕЛО № 22-3177/2023
- ↑ Суд приговорил жителя ДНР к двум годам колонии-поселения за хакерские атаки
- ↑ Прокуратура Кировского района поддержала обвинение по уголовному делу по факту неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации
- ↑ Удивительно жесткое (не типичное для российских реалий) наказание вынес районный суд Астрахани специалисту офиса продаж оператора сотовой связи за "мобильный пробив".
- ↑ Приговор по делу № 1-148/2021
- ↑ Сферу здравоохранения с почином от МВД
- ↑ Атаки на критически важную IT-инфраструктуру пошли по судам