Ответ на пост «Теле2 - без правил»
Ответ скорее на комментарий @VanDerVaalc (#comment_283812663) , публикую постом, потому как слишком длинный коммент получился.
Предупреждаю, текст будет не просто длинным, а очень длинным. Ссылок на конкретные дела у меня нет, и номера в моей выкопировке тоже не везде есть, но все получено из открытых источников.
Итак, если говорить о преступлениях в компьютерной сфере, то стоит рассматривать статьи УК РФ 272, 273, 274, 274.1 и 274.2. При квалификации деяния они могут быть дополнены статьями 138, 146, 159.6, 183.2, 286.
При поиске судебной практики были использованы материалы портала ГАС РФ "Правосудие" https://bsr.sudrf.ru/, а также сайты региональных представительств следственного комитета https://sledcom.ru/sk_russia/structure/mapregions/ и сайты судов на платформе sudrf.ru. ГАС Правосудие лучше всего работает в выходные и ранним утром) В остальное время может конкретно висеть.
Стоит отметить, что не все дела можно посмотреть в открытом доступе - решение о публикации принимается судьей. То есть будет информация о деле - номер, кто судья, кто ответчик, но само решение выложено не будет.
Также аналитика по применению статьи 274.1 есть у Валерия Комарова: https://valerykomarov.blogspot.com/p/2741.html
В рамках статьи 272 судами рассматривается неправомерный доступ к персональным данным, переписке, коммерческой тайне и иным видам тайн.
По статье 273 рассматриваются не только дела по разработке/ использованию вредоносного ПО, но и использование программ для обхода политики лицензирования, а также программ для сканирования уязвимостей, так как такие программы ведут к нейтрализации средств защиты информации.
По нарушению правил эксплуатации (ст.274) согласно данным ГИС «Правосудие» за 2022 год поступило 1 дело по статье 274. Основным условием наступления ответственности по данной статье является крупный ущерб (сумма которого превышает один миллион рублей).
По статье 274.2 практики пока нет, потому что она вступила в силу в марте 2023.
А вот по статье 274.1 судебная практика имеется, и она включает в себя немного не то, что ожидается. Итак, по статье 274.1
Ожидание:
злоумышленник нарушил работу АСУ ТП, которая является объектом КИИ и за это его приговорили к 10 годам тюрьмы.
Реальность:
Медсестра вписала ложные данные о вакцинации против КОВИД в Единую государственную информационную систему здравоохранения (объект КИИ, вред - нарушение целостности)
Сотрудник салона связи осуществил неправомерные манипуляции с персональными данными абонентов. Особенно активны в этом направлении Вымпелком и Т2.
Горе-хацкер, который из любопытства за-ddos-ил сайт субъекта КИИ из познавательных целей.
Сотрудники РЖД, решившие схалтурить и не сдавать экзамен на знание своих рабочих обязанностей.
Сотрудники банков оформляют кредитные карты без согласия субъектов персданных.
В основном, при первом правонарушении суд дает минимальное наказание - условный срок/штраф, но в 2022 году есть 1 приговор сотруднику оператора сотовой связи с реальным сроком в 3 года.
Чтобы вы понимали, насколько велика человеческая глупость, а иначе назвать эти действия не получается, вот несколько примеров дел:
Статья 274 ч 1
Командир роты обеспечения - не обновлял пароли на модулях доверенной загрузки компов с гостайной, при проведении проверки работоспособности решил не восстанавливать по инструкции, а отключил модули доверенной загрузки. В общем, когда пришла проверка, а компы с гостайной не работают совсем, командир попал на оплату спец проверок для того чтоб снова можно было работать с гостайной - на 3,7 млн руб. А приговор? Да 70 тыщ штрафа и все.
Статья 274.1 ч 4
Сотрудник салона сотовой связи, используя служебное положение, внес информацию об оформленном договоре и персданных клиента в информационную систему, которая является значимым ОКИИ. Далее цитата из самого дела, лучше я не напишу:
Действия ___ по заключению фиктивных договоров от имени ООО «Т2 Мобайл» причинили вред критической информационной инфраструктуре, а именно: информационной системе обслуживания абонентов __(ООО «Т2 Мобайл»), в частности, нарушили целостность интерфейса обслуживания абонентов ___,
Вред, причиненный критической информационной инфраструктуре, выразился в модификации информации в указанной базе данных, внесении в нее недостоверной информации, что нарушило целостность информационной системы, в результате чего информация, циркулирующая в ней, перестала соответствовать критериям оценки - объективности, достоверности и актуальности.
Приговор - 3 (три) года 6 (шесть) месяцев условно, испытательный срок 2 года
1-648/2022, статья 274.1:
из корыстной заинтересованности, выражавшейся в желании сэкономить собственные денежные средства на услуги связи и приобретение билетов в лотерее «Столото» (!!!!!!), осуществил выдачу SIM-карт без фактического обращения их владельцев, внес недостоверную информацию об оказанных услугах связи абонентам, и, как следствие, недостоверную информацию в информационную систему «Автоматизированная система расчетов», что повлекло причинение вреда КИИ РФ, так как его действия нарушили целостность базы данных вышеуказанной информационной системы.
Получил тоже условный срок.
А вот дело №1-51/2022, тоже 274.1 часть 4. По этому делу вынесен приговор с реальным сроком в 3 года. Дело было в МТС, далее цитата из приговора:
" Для исполнения служебных обязанностей ему (сотруднику МТС) был предоставлен логин и пароль. Он был ознакомлен с документами, которые запрещали ему как сотруднику передавать персональные данные абонентов.
Через некоторое время с ним в <данные изъяты> через акаунт <данные изъяты> связался незнакомый человек, предложив ему за денежные средства предоставлять персональные данные абонентов ПАО МТС. В связи с тяжелым материальным положением он согласился
Получал он их из системы, которая не является объектом КИИ по мнению МТС (не категорирована, и принадлежит дочерней компании ПАО МТС). Короче, продавал персданные по запросу. Причем не дорого - 5 тыщ за одно лицо вроде бы. Примечательно еще то, что в деле в качестве Свидетеля допрошен специалист ФСТЭК, который и указал, что если система принадлежит субъекту КИИ, то она автоматически является объектом КИИ и наплевать, что нет акта категорирования и сам субъект систему объектом КИИ не считает.
Или вот 22-2476/2022, тоже 274.1, только квалифицировано как часть 3.
Сотрудник В(очевидно, Вымпелком)признан виновным и осужден за нарушение правил эксплуатации средств хранения, обработки и передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ. Короче, вместо 1 симки при обращении абонента он оформлял три - 1 абоненту и 2 оставлял себе и потом перепродавал.
Приговор - 1,5 года условно и 2 года нельзя работать с КИИ.
№1-56/2022, ч.3 ст.159.6, ч.4 ст.274.1 - Начислил средства, предназначенный для компенсаций абонентам ПАО Вымпелком, на счета сообщницы. Всего 42 800. Этими действиями он нарушил целостность системы, являющейся объектом КИИ.
Приговор - 4 года условно и 3 года испытательный срок.
Ну и на закуску еще одно дело о том, как важно читать все инструкции и правила на работе. Ст.138, Ст.272
Начальника отдела ИБ обвинили в нарушении тайны переписки. В документах конторы зафиксировано: У работников есть запрет на обсуждение нерабочих вопросов в корпоративном мессенджере, у начальника отдела ИБ есть обязанность раз в месяц мониторить переписки на предмет нарушений (не то чтобы нерабочие переписки ищут, скорее коррупцию или иные неправомерные договоренности). С документами все ознакомлены под роспись.
Как было дело - сотрудники в корпоративном мессенджере стали обсуждать руководство в негативном ключе. Начальник отдела ИБ это дело запалил и написал докладную, ну и для доказательства скинул себе на флешку эти переписки (имеет право, в должностной инструкции прописано). Руководство возмутилось и сотрудникам сказало "аяйяй!".
Сотрудники оскорбились и подали на начальника отдела ИБ в суд - типа не имел право читать, о чем мы там пишем. К слову, суд первой инстанции признал начальника отдела ИБ виновным. Доказать что-то удалось только в кассации и дело отправлено на пересмотр с указанием , что надо принять во внимание должностную инструкцию начальника отдела ИБ.