В 2019 году была громкая история с утечкой базы персональных данных работников РЖД. Публикаций в СМИ было огромное количество. "После появления информации об утечке персональных данных более 700 тыс. сотрудников «Российских железных дорог» (РЖД) объявили о начале проверки, сообщил представитель компании. «Готовятся материалы для передачи в правоохранительные органы», — добавил он." (РБК). Действительно, не обманули и обратились в правоохранительные органы. Преступника нашли и покарали по всей строгости закона, штраф - 100 000 рублей. И способ то банальный взлома - узнал пароль для доступа у родственника. Жаль, но вопрос ответственности болтливого работника РЖД нераскрыт. И ст.274.1 УК РФ за КИИ не стали предъявлять.
name='more'>К делу № 1-504/2020
14 мая 2020 года г. Краснодар
Прикубанский районный суд г. Краснодара в составе
рассмотрев в открытом судебном заседании в особом порядке судебного разбирательства материалы уголовного дела в отношении Лега К.И,, <данные изъяты>, ранее не судимого, обвиняемого в совершении преступлений, предусмотренных ч. 1 ст. 272 , ч. 1 ст. 183 Уголовного кодекса РФ,
Преступления совершены при следующих обстоятельствах: в период с 31.08.2017 г. по 21.11.2019 г., в соответствии с поручением Президента ОАО «РЖД» № от ДД.ММ.ГГГГ, создан и поэтапно введен в опытную эксплуатацию находящийся на служебных серверах хранения информации ОАО «РЖД», расположенных в здании Главного вычислительного центра – филиала ОАО «РЖД» по адресу: <адрес>, сервисный портал работника, руководителя и неработающего пенсионера ОАО «РЖД», с имеющейся на нем и охраняемой, в соответствии с Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне», Перечнем информации, составляющей коммерческую тайну ОАО «РЖД», утвержденным приказом Президента ОАО «РЖД» от 27.12.2004 г. № 240 «О порядке обращения с информацией, составляющей коммерческую тайну в ОАО «РЖД», Положением об обработке и защите персональных данных ОАО «РЖД», утвержденным приказом Президента ОАО «РЖД» от 20.07.2016 г. № 60 «Об обеспечении защиты персональных данных в ОАО «РЖД», компьютерной информации, в которой содержатся персональные данные руководства и иных работников ОАО «РЖД» и информация, отнесенная к информации, составляющей коммерческую тайну ОАО «РЖД», ограниченный доступ к которым осуществляется с сайта my.rzd.ru посредством ввода персонализированного логина и пароля, предоставленных в кадровом подразделении работникам и неработающим пенсионерам указанной организации.
В период времени с 13 часов 42 минут 14.06.2019 г. по 06 часов 54 минут 25.06.2019 г., Лега К.И,, используя для доступа в информационно-телекоммуникационную сеть «Интернет» персональный компьютер с системным блоком, с установленной в нем сетевой картой, подключенной через Wi-Fi-роутер к выделенному каналу связи для доступа к информационно-телекоммуникационной сети «Интернет», абонента ООО «Трансмедиа-Юг», по договору № от ДД.ММ.ГГГГ, зарегистрированному на имя ФИО7, используя для авторизации на вышеуказанном сервисном портале учетную запись и пароль пользователя «№», полученные от его брата ФИО8, ДД.ММ.ГГГГ г.р., являющегося работником ОАО «РЖД» и не осведомленного о его преступных действиях, осуществил неправомерный доступ к охраняемой Федеральным Законом от 27.07.2006 г. № 149 «Об информации, информационных технологиях и о защите информации», в соответствии с которым федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение (ст. 9 Федерального закона); Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», в соответствии с которым персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); операторы при обработке персональных данных обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ст. 3, ст. 19 Федерального закона); Федеральным законом от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне», в соответствии с которым право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений указанного Федерального закона; (ст. 4 Федерального закона); Перечнем информации, составляющей коммерческую тайну ОАО «РЖД», утвержденным приказом Президента ОАО «РЖД» от 27.12.2004 г. № 240 «О порядке обращения с информацией, составляющей коммерческую тайну в ОАО «РЖД», в соответствии с которым к информации, составляющей коммерческую тайну ОАО «РЖД» относится информация, раскрывающая идентификационную либо аутентификационную информацию пользователя информационной системы или телекоммуникационной сети, к которой относится логин, с помощью которого осуществляется доступ на сервисный портал работника, руководителя и неработающего пенсионера ОАО «РЖД», на сайте my.rzd.ru (п. 12.4. Перечня); Положением об обработке и защите персональных данных ОАО «РЖД», утвержденного приказом Президента ОАО «РЖД» от 20.07.2016 г. № 60 «Об обеспечении защиты персональных данных в ОАО «РЖД», в соответствии с которым определен состав персональных данных, обрабатываемых в подразделениях ОАО «РЖД» (п. 7 Положения), компьютерной информации, а именно 760 980 фотографиям и 801 552 сведениям о фамилии, имени, отчестве, номере стационарного рабочего телефона, адресе корпоративной электронной почты, занимаемой должности, месте работы, числе, месяце, годе рождения, страховом номере индивидуального лицевого счета (СНИЛС), являющегося логином пользователей указанного сервисного портала, руководства и иных работников ОАО «РЖД», являющихся персональными данными, которую при помощи HTTP-запросов с имитацией работы системы Google по индексации Интернет ресурсов, посредством использования 96 уникальных Proxy серверов ip v4, скопировал на разработанный им сайт infach.me, доступ к которому в период времени с 25.08.2019 г. по 27.08.2019 г. находился у неограниченного числа пользователей информационно-телекоммуникационной сети «Интернет».
Подсудимый в судебном заседании с предъявленным им обвинением согласился полностью, заявил ходатайство о рассмотрении уголовного дела в особом порядке судебного разбирательства. При этом данное ходатайство заявлено подсудимыми добровольно, после консультации с защитником, порядок рассмотрения дела в порядке особого судебного разбирательства подсудимому разъяснен и понятен. Характер и последствия заявленного ходатайства он осознает.
Представитель потерпевшего Колягин В.А. в судебное заседание не явился, о дате и месте слушания уголовного дела извещен надлежащим образом. В материалах дела имеется ходатайство от представителя потерпевшего о рассмотрении уголовного дела в его отсутствие, против рассмотрения уголовного дела в особом порядке судебного разбирательства не возражал.
Государственный обвинитель считал возможным рассмотреть дело в особом порядке судебного разбирательства, поскольку соблюдены все необходимые для этого условия.
Удостоверившись в том, что требования ч. ч. 1, 2 ст. 314 Уголовно-процессуального кодекса РФ соблюдены, суд приходит к выводу о возможности применения особого порядка принятия судебного решения.
Суд находит установленной вину подсудимого в совершении указанных преступлений, так как предъявленное ему обвинение обоснованно и подтверждается доказательствами, собранными по уголовному делу.
Действия подсудимого Лега К.И, правильно квалифицированы по ч. 1 ст. 272 , ч. 1 ст. 183 Уголовного кодекса РФ как собирание сведений, составляющих коммерческую тайну иным незаконным способом, совершение неправомерного доступа к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации.
При назначении вида и меры наказания суд принимает во внимание характер и степень общественной опасности совершенного преступления, отнесенного в соответствии с ч. 2 ст. 15 Уголовного кодекса РФ к категории преступлений небольшой тяжести, данные о личности подсудимого.
При назначении наказания, суд принимает во внимание характер и степень общественной опасности совершенного преступления, личность подсудимого, который положительно характеризуется по месту жительства, месту работы, не состоит на учете в психоневрологическом и наркологическом диспансере, а также влияние назначенного наказания на исправление осужденного.
Обстоятельств, отягчающих наказание подсудимого, в соответствии со ст. 63 Уголовного Кодекса РФ, судом не установлено.
Основания для освобождения от наказания или постановления приговора без назначения наказания отсутствуют.
Обстоятельств, при которых возможно применение статей 64 , 73 Уголовного Кодекса РФ, судом не установлено.
На основании изложенного и принимая во внимание обстоятельства совершенных преступлений, их тяжесть, общественную опасность и значимость, данные о личности подсудимого Лега К.И,, наличие смягчающих и отсутствие отягчающих наказание обстоятельств, суд приходит к выводу, что исправление подсудимого возможно без изоляции от общества и полагает, что за совершенное преступления ему должно быть назначено наказание в виде штрафа.
На основании изложенного и руководствуясь ст. ст. 316 Уголовно-процессуального Кодекса РФ, суд
приговорил:
Признать Лега К.И, виновным в совершении преступления, предусмотренного ч. 1 ст. 272 Уголовного Кодекса РФ, и назначить наказание в виде штрафа в размере 50 000 рублей.
Его же признать виновным в совершении преступления, предусмотренного ч. 1 ст. 183 Уголовного Кодекса РФ, и назначить наказание в виде штрафа в размере 80 000 рублей.
На основании ч. 2 ст. 69 Уголовного кодекса РФ, путем частичного сложения, окончательно назначить наказание в виде штрафа в размере 100 000 рублей.
Меру пресечения в отношении Лега К.И, в виде подписки о невыезде и надлежащем поведении отменить по вступлению приговора в законную силу.
Вещественные доказательства: лист бумаги формата А-4, содержащий информацию для доступа ФИО8 к сервисному порталу my.rzd.ru – хранить при уголовном деле, жесткий диск «Seagate Backup Plus Portable Drive» черного цвета с серийным номером NA9NLBQJ – по вступлению приговора в законную силу уничтожить.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite