26 Июня, 2019

Ст.274.1 УК РФ. Взгляд Института законодательства и сравнительного правоведения при Правительстве РФ

Валерий Комаров

   Обсуждение законопроекта по изменению КоАП несколько затмило собой общественную дискуссию по поводу уголовной ответственности. А ведь ст.274.1 УК РФ уже в силе. Свою позицию я уже озвучивал в блоге и журнальных публикациях . И предлагаю ознакомится с позицией сотрудника института при Правительстве РФ. Статья свежая, майская за этот год.
При отсутствии публичной позиции органов следствия ФСБ и Генпрокуратуры, единственный доступный источник позиции лиц, формирующих ее у Правительства страны.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога
name='more'>

Трунцевский Ю.В. Неправомерное воздействие на критическую информационную инфраструктуру: уголовная ответственность ее владельцев и эксплуатантов // Журнал российского права. 2019. N 5. С. 99 - 106.

Трунцевский Юрий Владимирович, ведущий научный сотрудник отдела методологии противодействия коррупции Института законодательства и сравнительного правоведения при Правительстве Российской Федерации, доктор юридических наук, профессор.

  Федеральным законом от 26 июля 2017 г. N 194-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" была введена статья 274.1 "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" Уголовного кодекса Российской Федерации, описывающая криминальные угрозы объектам критической информационной инфраструктуры и устанавливающая основания уголовной ответственности ее владельцев и эксплуатантов.

    Диспозиция ч. 3 ст. 274.1 УК РФ включает противоправные деяния как в форме активного действия, так и бездействия в отношении соблюдения правил эксплуатации и нарушения правил доступа к объектам критической информационной инфраструктуры Российской Федерации. Обязательным признаком составов рассматриваемых преступлений является наступление общественно опасных последствий: причинение вреда критической информационной инфраструктуре (ч. ч. 3 и 4) и тяжкие последствия, имеющие значение для безопасности данной инфраструктуры (ч. 5). Субъект (исполнитель) данного преступления - специальный (владелец/эксплуатант критической информационной инфраструктуры), имеющий доступ к критической информационной инфраструктуре либо к относящимся к ней объектам в силу выполнения своих служебных полномочий и обязанный исполнять установленные правила эксплуатации и доступа к ним.
   Согласно ст. 14 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Закон о безопасности КИИ) "нарушение требований настоящего Федерального закона и принятых в соответствии с ним иных нормативных правовых актов влечет за собой ответственность в соответствии с законодательством Российской Федерации". За нарушение законодательства о безопасности КИИ предусмотрена уголовная ответственность.
   В Уголовный кодекс включена специальная ст. 274.1 "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации", подследственность уголовных дел по которой (наряду со ст. ст. 272, 273 и 274) передана ФСБ России, а также следователям органа, выявившего эти преступления (ч. 5 ст. 151 УПК РФ). Данные изменения вступили в силу с 1 января 2018 г., и пока какая-либо судебная практика по преступлениям, описанным в ч. ч. 3 - 5 ст. 274.1 УК РФ, отсутствует <10>.
   Части 3 - 5 ст. 274.1 УК РФ распространяются на владельцев/эксплуатантов КИИ. Санкции за совершение данных деяний предусматривают, с учетом различных квалифицирующих признаков, такие наказания, как штраф, принудительные работы, лишение свободы с лишением права занимать определенные должности или заниматься определенной деятельностью.
   Объектом преступления (ч. ч. 3 - 5 ст. 274.1 УК РФ) выступают общественные отношения по обеспечению правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в вышеуказанных системах, а также правил доступа к указанным объектам.
   Предметом преступления (ч. ч. 3 - 5 ст. 274.1 УК РФ) являются КИИ России; информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, сети электросвязи, относящиеся к КИИ Российской Федерации. Под КИИ понимаются ИТ-системы государственных и коммерческих организаций, сбои в которых (в том числе в результате хакерских атак) могут привести к тяжелым социальным, политическим, экологическим и прочим последствиям.
   Термин "критическая" относится к инфраструктуре, которая при выведении из строя или разрушении приведет к катастрофическому и далеко идущему ущербу. Критическая инфраструктура страны обеспечивает ключевые услуги, которые лежат в основе российского общества.
   Понятие критической информационной инфраструктуры Российской Федерации содержится в п. 6 ст. 2 Закона о безопасности КИИ; информационной системы - в ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" <11>; информационно-телекоммуникационной сети - в п. 4 ст. 2 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"; автоматизированной системы управления - в п. 1 ст. 2 Закона о безопасности КИИ; сети электросвязи (средства связи) - в п. 28 ст. 2 Федерального закона от 7 июля 2003 г. N 126-ФЗ "О связи".
   Информационная среда КИИ представляет собой совокупность вычислительных и информационных ресурсов, образующих автоматизированную систему управления технологическими процессами критически важных объектов (АСУ ТП КВО). При этом вычислительные ресурсы формируются системой локальных вычислительных сетей, других программных средств и средств вычислительной техники и могут быть использованы для организации распределенных вычислений (например, при моделировании сложных социальных и физических процессов, дешифровке зашифрованного кода).
  Телекоммуникационная среда КИИ образуется совокупностью телекоммуникационных устройств; линий связи и каналообразующего оборудования; систем открытых протоколов обмена информацией между телекоммуникационными устройствами; глобальной системы цифровых адресов и доменных имен (цифровых идентификаторов); программного обеспечения, реализующего алгоритмы, методы и процессы телекоммуникационной связи на основе протоколов взаимодействия локальных вычислительных сетей и предоставляющего доступ к ним и иным средствам автоматизированной обработки информации.
   Субъектами КИИ согласно п. 8 ст. 2 Закона о безопасности КИИ являются государственные органы и учреждения, российские юридические лица и (или) индивидуальные предприниматели. Данным субъектам на праве собственности, аренды или на ином законном основании должны принадлежать информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления. Такие объекты должны функционировать в следующих сферах: здравоохранение, наука, транспорт, связь, энергетика, банковская и иные сферы финансового рынка, ТЭК, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Субъектами КИИ также являются российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
  Объективная сторона рассматриваемых составов преступления (ч. ч. 3 - 5 ст. 274.1 УК РФ) выражается в неправомерном воздействии на КИИ РФ путем:
-нарушения правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в ней, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к КИИ РФ;
-нарушения правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи.
  Такие деяния могут совершаться в форме как активного действия, так и бездействия в отношении соблюдения указанных правил эксплуатации или доступа.
   Характерный пример преступного бездействия - неустановка обновлений программного обеспечения. Работник субъекта КИИ должен провести анализ угроз и принять дополнительные меры защиты от этих угроз. Если в результате расследования компьютерного инцидента выяснится, что доступ произошел благодаря уязвимости, устраняемой посредством обновления компьютерных программ, которое на тот момент было доступным для соответствующей организации, невыполнение этих требований будет являться признаком объективной стороны преступления, предусмотренного ст. 274.1 УК РФ. Судебная практика по уголовным делам в сфере компьютерных преступлений <12> показывает, что субъектом такого преступления становится ИТ-персонал, если эти нарушения совершены им самовольно в нарушение политики информационной безопасности, принятой в организации, в том числе руководители организации, если ИТ-персонал действовал по их приказу или в его отсутствие при наличии необходимости издания соответствующего распоряжения.
  По конструкции состав преступления материальный, предусматривает наступление общественно опасных последствий (как момента окончания преступления) - вреда критической информационной инфраструктуре Российской Федерации (ч. ч. 3 - 4 ст. 274.1 УК РФ) и тяжких последствий (ч. 5 ст. 274.1 УК РФ).
    То есть законодатель логично ставит ответственность в зависимость от наступления общественно опасных последствий преступления, но при этом не устанавливает правил по определению размера тяжести такого вреда, оставляя данный вопрос на стороне судебной системы, которая, в свою очередь, получает возможность трактовать данное положение уголовного закона довольно широко, самостоятельно определяя порог размера малозначительности причиняемого вреда.
   Согласно п. 19 Постановления Пленума ВС РФ от 29 ноября 2016 г. N 55 "О судебном приговоре" квалификация преступления по той или иной статье уголовного закона, ее части либо пункту должна быть мотивирована судом. Это относится к признанию подсудимого виновным в совершении преступления по таким оценочным признакам, как существенный вред, тяжкие последствия. При этом суды не могут ограничиваться лишь указанием на подобный признак, а в описательно-мотивировочной части приговора обязаны привести обстоятельства, которые послужили основанием для вывода о наличии в содеянном такого признака. Размер вреда - признак оценочный и определяется судом в каждом конкретном случае. В рассматриваемой статье УК РФ вред причиняется критической информационной инфраструктуре Российской Федерации. В соответствии с п. 6 ст. 2 Закона о безопасности КИИ критическую информационную инфраструктуру составляют ее объекты, а также сети электросвязи, которые используются при организации взаимодействия этих объектов. В связи с этим вред может носить либо материальный (физический), либо организационный (технологически-эксплуатационный) характер, выразившийся в нарушении и (или) прекращении функционирования объекта КИИ, сети электросвязи, которая используется при организации взаимодействия таких объектов, либо в нарушении безопасности информации, обрабатываемой таким объектом, в том числе если это произошло посредством компьютерной атаки (компьютерный инцидент).
    Анализ судебной практики по преступлениям, имеющим материальный состав, показывает, что единого подхода к определению понятия "тяжкие последствия" с точки зрения их размера в денежном выражении не выявлено - в каждом случае суд должен установить размер вреда / тяжесть последствий исходя из обстоятельств дела, а также в контексте существующей правоприменительной практики и неопределенности толкования размеров ущерба точно определить категорию последствия часто представляется крайне сложной задачей.
   Исходя из того, что данный признак последствий является особо квалифицированным и помещен в ч. 5 ст. 274.1 УК РФ, можно заключить, что "тяжкие последствия" включают более опасные последствия, чем "вред" КИИ, закрепленный в ч. 3 данной статьи.
    Тяжкие последствия (ч. 5) в отличие от вреда (ч. 3) могут распространяться как на объекты КИИ, так и на деятельность субъектов КИИ. Такие последствия могут иметь значение для безопасности КИИ - защищенности, обеспечивающей ее устойчивое функционирование при проведении в отношении ее компьютерных атак, в том числе противоправном нарушении эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации). Например, причинение организации (субъекту КИИ) материального ущерба, репутационного вреда или возникновение иных негативных для нее последствий; нарушение технологических и бизнес-процессов организации.
    В случае с КИИ тяжкие последствия не должны ограничиваться материальным ущербом, например при остановке воздушного сообщения можно говорить о наступлении тяжких последствий, учитывая критерий массовости, т.е. когда нарушаются права и свободы большого количества субъектов права, когда в результате компьютерного инцидента появляются пострадавшие люди, которые не смогли вовремя вылететь из аэропорта, лишились билетов, самолеты не смогли сесть на аэродром и т.п. В случае отказа системы и, как следствие, прерывания какого-то технологического процесса (например, атомной электростанции) финансовые и другого рода потери будут исчисляться в миллиардах рублей.
    Одновременно с этим к тяжким последствиям можно отнести гибель и серьезные травмы людей, разрушения и уничтожение информационной инфраструктуры, нанесение вреда безопасности государства и т.д. То есть тяжесть последствий должна определяться с учетом причинения (или реальности созданной угрозы) тяжкого вреда здоровью людей или смерти, материального ущерба, серьезного нарушения деятельности предприятий, аварий и катастроф, уничтожения, блокирования, модификации или копирования привилегированной информации особой ценности <13>.
   Субъект (исполнитель) рассматриваемых составов преступлений - специальный: это вменяемое лицо, достигшее возраста 16 лет, имеющее доступ к КИИ РФ либо к относящимся к ней объектам в силу выполнения служебных обязанностей по исполнению установленных правил эксплуатации и доступа к КИИ РФ.
   Под лицами, использующими свое служебное положение, в ч. 4 ст. 274.1 УК РФ следует понимать лиц, осуществляющих организационно-распорядительные или административно-хозяйственные обязанности в организации, иных лиц <14>. В организации признаками такого лица могут обладать: руководители организации или ее подразделений и работники, уполномоченные на решение задач по информационной безопасности, а также иные лица, выполняющие на основании гражданско-правовых договоров задачи по обеспечению безопасности КИИ.
   Исходя из того, что к субъектам КИИ относятся российские юридические лица, которым принадлежат данные системы, в случае передачи ими КИИ на баланс аутсорсинговой компании, сделавшая это, например, нефтяная компания под определение субъекта КИИ не подходит, и поэтому ее сотрудники (руководители) не могут быть исполнителями преступления, предусмотренного ч. 3 ст. 274.1 УК РФ. Вместе с тем, если такая организация передала КИИ на аутсорсинг, но у нее остались компьютеры, через которые можно удаленно подключаться к КИИ, ее следует считать субъектом КИИ, а ее сотрудников - субъектами рассматриваемых преступлений, несмотря на то что непосредственно соответствующей КИИ она не владеет.
   С субъективной стороны деяние, описанное в ч. 3 ст. 274.1 УК РФ, характеризуется виной как в форме умысла, так и неосторожности - невыполнение необходимых мероприятий по обеспечению безопасности объекта КИИ, что повлекло причинение ему вреда. Такая трактовка форм вины связана с тем, что нарушения штатного режима функционирования АСУ ТП КВО могут быть следствием как ошибок в работе ее систем и устройств, так и целенаправленного воздействия на АСУ ТП КВО, т.е. важно учитывать причины возникновения нарушений. Лицо предвидит причинение вреда КИИ в результате нарушения им правил эксплуатации (доступа), но без достаточных к тому оснований самонадеянно рассчитывает на предотвращение возможного наступления последствий, либо не предвидит их, хотя при должной осмотрительности и внимательности это лицо должно было и могло их предвидеть.
   Таким образом, анализ признаков составов преступлений, предусмотренных ч. ч. 3 - 5 ст. 274.1 УК РФ, позволил сформулировать положения по квалификации неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации ее владельцами и эксплуатантами. Так, диспозиция ч. 3 данной статьи включает противоправные деяния в форме как активного действия, так и бездействия в отношении соблюдения правил эксплуатации и доступа к объектам КИИ. Обязательным признаком составов рассматриваемых преступлений является наступление общественно опасных последствий: причинение вреда КИИ РФ (ч. ч. 3 и 4) и тяжкие последствия, имеющие значение для ее безопасности (ч. 5). Субъект (исполнитель) данного преступления - специальный (владелец/эксплуатант КИИ), имеющий доступ к КИИ РФ либо к относящимся к ней объектам в силу исполнения своих служебных обязанностей и обязанный исполнять установленные правила эксплуатации, доступа к КИИ.


Библиографический список

Капустин А.Я. К вопросу о международно-правовой концепции угроз международной информационной безопасности // Журнал зарубежного законодательства и сравнительного правоведения. 2017. N 6.

Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации. URL: https://genproc.gov.ru/documents/nauka/execution/document-104550/.

Трунцевский Ю.В. Киберпреступления в корпоративной среде: риски, оценка и меры предупреждения // Российский следователь. 2014. N 21.

Хабриева Т.Я. Право перед вызовами цифровой реальности // Журнал российского права. 2018. N 9.

Хабриева Т.Я., Черногор Н.Н. Право в условиях цифровой реальности // Журнал российского права. 2018. N 1.

Черемисинова М.Е. О формировании системы обеспечения безопасности критической информационной инфраструктуры Российской Федерации. URL: http://comitasgentium.com/ru/о-формировании-системы-обеспечения-б/.

Шувалов И.И., Хабриева Т.Я., Цзинжу Фэн и др. Киберпространство БРИКС: правовое измерение: Монография / Отв. ред. Д. Руйпин, Т.Я. Хабриева; сост. Жун Фу, Н.М. Бевеликова. М., 2017.