Конец 2021 года отметился очередным приговором работнику "Вымпелком"в Ярославле. Подобные дела реализуются конвеерным способом по всей стране. Однако, все равно сумели удивить судебным решением.
name='more'>1. Квалификация преступления по ч.4 не устояла в суде. Обвинение не смогло доказать совершение преступления с использованием служебного положения. Окончательный приговор вынесен по ч.3 ст.274.1 УК РФ.
2. Преступник не только оформлял sim-карты на несуществующие данные абонентов, но и продавал их в последующем не установленным лицам. А это уже серьезно может повлиять на безопасность государства. Однако - наказание мягче, чем в случаях с такими же работниками, которые "левые" симки не реализовали. Возможно что судья приняла во внимание ранее вынесенные приговоры с учетом того, что они были по утяжеляющей ч.4 и автоматом снизила наказание.
3. Очередное недоразумение с "вред КИИ" - "нанес вред КИИ, а именно АИС, принадлежащей на праве собственности ПАО «ВымпелКом», который выразился в модификации информации, содержащейся в указанной базе данных, внесении в нее недостоверной информации, что нарушило целостность информационной системы. При этом действия Луппова Р.С. повлекли за собой необходимость проведения дополнительных внеплановых мероприятий по оценке защищенности автоматизированной системы и актуализации циркулирующей в ней информации.". Как видим, даже не потребовалось оценивать стоимость проведения внеплановых мероприятий. Достаточно факта их проведения. Не пришлось и про репутацию субъекта КИИ писать, хотя пострадавшая сторона и заявляла его. Удобно. Любой вред отличный от 0 подходит.
4. По всем приговорам проходит "красной нитью" - "руководство устанавливало каждому работнику планы продаж на месяц, в который включались планы реализации сим-карт. Указанные планы являлись завышенными, но за их неисполнение грозили финансовые или дисциплинарные санкции, в том числе лишение премии, которая составляла значительную часть заработной платы.". Экономический базис столь высокого уровня преступности наглядно.
5. ФСБ подключилось к расследованию в рамках другого уголовного дела, по факту совершения компьютерных преступлений других лиц с использованием "левых" симок. Жадность погубила, решил компенсировать свои затраты при активации симки.
Дело № 1-202/21
ПРИГОВОР
30 ноября 2021 года г.Ярославль
УСТАНОВИЛ:
Подсудимый Луппов Р.С. виновен в нарушении правил эксплуатации средств хранения и обработки охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, информационных систем, относящихся к критической информационной инфраструктуре РФ, правил доступа к указанной информации и информационным системам, что повлекло причинение вреда критической информационной инфраструктуре РФ.
Преступление совершено при следующих обстоятельствах.
Согласно п. 6 ст. 2 Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее - ФЗ от 26.07.2017 г. № 187-ФЗ) критической информационной инфраструктурой (далее - КИИ) являются объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
В соответствии с п. 7 ст. 2 ФЗ от 26.07.2017 г. № 187-ФЗ объектами КИИ являются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ.
В силу п. 8 ст. 2 ФЗ от 26.07.2017 г. № 187-ФЗ субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере связи.
Согласно п. 2 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства РФ № 127 от 08.02.2018 г., категорирование осуществляется субъектами КИИ в отношении принадлежащих им на праве собственности, аренды или ином законном основании объектов КИИ.
Таким образом, ПАО «ВымпелКом» является субъектом КИИ, которому на праве собственности принадлежат информационные системы и телекоммуникационные сети, в том числе, база данных автоматизированной системы «Amdocs Ensemble» (далее - АИС), которая является объектом КИИ в соответствии с Перечнем объектов критической информационной инфраструктуры ПАО «ВымпелКом», утвержденным 21.12.2018 г. Президентом ПАО «ВымпелКом» ФИО11 А.Е., и содержит охраняемую законом компьютерную информацию, составляющую тайну связи, и персональные данные граждан.
В соответствии с п. 1 ст. 53 Федерального закона от 07.07.2003 № 126-ФЗ «О связи» к сведениям об абонентах относятся, в том числе, фамилия, имя, отчество, адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
В силу п. 6 ст. 44 Федерального закона от 07.07.2003 № 126-ФЗ «О связи» лицо, действующее от имени оператора связи, при заключении договора об оказании услуг подвижной радиотелефонной связи обязано внести в него достоверные сведения об абоненте, перечень которых установлен правилами оказания услуг связи.
Согласно п.п. 18, 21 постановления Правительства РФ от 09.12.2014 № 1342 «О порядке оказания услуг телефонной связи» физическое лицо при заключении договора предъявляет документ, удостоверяющий его личность, оператору связи или уполномоченному оператором связи третьему лицу. Договор заключается в письменной форме или путем совершения конклюдентных действий, позволяющих достоверно установить волеизъявление абонента в отношении заключения договора.
В соответствии с Правилами пользования услугами информационных технологий ПАО «ВымпелКом» (Приложение № 1 к приказу № 242/13, утвержденному 12.02.2013 г.) ПАО «ВымпелКом» в своей деятельности активно использует информационные технологии. В информационных системах (далее - ИС) Компании хранится и обрабатывается информация, связанная с бизнес процессами. Лица, получающие доступ к ИС Компании, обязаны знать и исполнять требования Порядка обращения с информацией ограниченного доступа, принятого в Компании.
В силу п.п. 1.3, 1.5 указанных выше Правил информационные ресурсы Компании предоставляются работникам компании для решения бизнес задач компании, их использование в других целях недопустимо. Запрещается намеренно подвергать системы любому риску, связанному с нарушением их работоспособности, а также конфиденциальности, целостности и доступности информации.
Согласно п. 3.8. Политики «Обработки персональных данных» ПАО «ВымпелКом», утвержденной Президентом ПАО «ВымпелКом» А.Е. ФИО11 29.12.2017 г., при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
В соответствии с п.п. 4.1, 4.2, 5.7 Положения «Обработка и защита персональных данных Абонентов», утвержденного Вице-президентом ПАО «ВымпелКом» ФИО16, оператор при обработке персональных данных Абонентов обязан соблюдать общие требования, установленные законодательством; обработка персональных данных абонентов осуществляется в целях обеспечения соблюдения законов и иных правовых актов РФ, в целях исполнения обязательств по оказанию услуг связи, проведения расчетов за услуги связи в рамках заключенных договоров и отношений, возникших при оказании услуг связи; при заключении Абонентского договора лицо, заключающее договор, предоставляет паспорт или иной документ, удостоверяющий личность.
27.11.2017 г. на основании трудового договора № 231-Я от 27.11.2017 г. и приказа № 27/11-47ЛС от 27.11.2017 г. Луппов Р.С. был принят на работу в ООО «<данные изъяты>» на должность продавца в отдел розничных продаж обособленного подразделения в г. Ярославле филиала «Центральный» с подписанием соответствующей должностной инструкции.
11.09.2018 г. на основании приказа № 0-0056 ООО «<данные изъяты>» было переименовано в ООО «<данные изъяты>».
01.02.2019 г. на основании приказа № 31/01-411ЛС от 31.01.2019 г. Луппов Р.С. был переведен на должность менеджера по продажам ООО «<данные изъяты>».
Для выполнения процедуры регистрации сим-карт от имени ПАО «ВымпелКом» Луппову Р.С. при трудоустройстве была оформлена учетная запись «ЛупповРС», с помощью которой он имел доступ к служебной информации, содержащейся в АИС, и мог вносить изменения в указанную систему.
В соответствии с Перечнем объектов критической информационной инфраструктуры ПАО «ВымпелКом» от 21.12.2018 г. АИС «Amdocs Ensemble» является объектом КИИ.
В период с 22.12.2018 г. по 14.03.2019 г. Луппов Р.С., находясь на рабочем месте, в офисе продаж ООО «<данные изъяты>», расположенном по адресу: <адрес>, действуя умышленно и из корыстных побуждений, преследуя цель получить денежные премии от работодателя за выполнение статистических показателей по проданным услугам, используя принадлежащую ему учетную запись «ЛупповРС» и программный модуль «1C-Retail», нарушил правила эксплуатации средств хранения и обработки охраняемой компьютерной информации, содержащейся в КИИ, информационных систем, относящихся к КИИ, правил доступа к указанным информации и информационным системам, путем внесения в АИС сведений о регистрации сим-карт с абонентскими номерами № на вымышленные им, то есть фиктивные, анкетные данные ФИО1, ДД.ММ.ГГГГ г.р., паспорт гражданина РФ серия №.
Кроме того, 18.01.2019 г. Луппов Р.С., находясь на рабочем месте, в офисе продаж ООО «<данные изъяты>», расположенном по адресу: <адрес>, действуя умышленно и из корыстных побуждений, преследуя цель получить денежные премии от работодателя за выполнение статистических показателей по проданным услугам, используя принадлежащую ему учетную запись «ЛупповРС» и программный модуль «1C-Retail», нарушил правила эксплуатации средств хранения и обработки охраняемой компьютерной информации, содержащейся в КИИ, информационных систем, относящихся к КИИ, правил доступа к указанным информации и информационным системам, путем внесения в АИС сведений о регистрации сим-карты с номером № на вымышленные им, то есть фиктивные, анкетные данные ФИО1, ДД.ММ.ГГГГ г.р., паспорт гражданина РФ серия №.
Сим-картами, оформленными с нарушением действующего законодательства в сфере связи, Луппов Р.С. распорядился по собственному усмотрению, в том числе часть из них сбыл третьим лицам за денежное вознаграждение.
Согласно данным УВМ УМВД России по Ярославской области паспорта граждан Российской Федерации серия № и серия № не изготавливались, а в автоматизированных учетах МВД России отсутствуют сведения в отношении ФИО1, ДД.ММ.ГГГГ г.р.
Таким образом, указанными выше умышленными действиями Луппов Р.С. нарушил требования п. 6 ст. 44, п. 1 ст. 53 Федерального закона от 07.07.2003 № 126-ФЗ «О связи», п.п. 18, 21 Постановления Правительства РФ от 09.12.2014 г. № 1342 «О порядке оказания услуг телефонной связи», п.п. 4.1, 4.2, 5.7 Правил пользования услугами информационных технологий ПАО «ВымпелКом» (Приложение № 1 к приказу № 242/13, утвержденному 12.02.2013 г.), п. 3.8 Политики «Обработки персональных данных» ПАО «ВымпелКом», утвержденной Президентом ПАО «ВымпелКом» А.Е. ФИО11 29.12.2017 г., п.п. 4.1, 4.2, 5.7 Положения «Обработка и защита персональных данных Абонентов», утвержденного Вице-президентом ПАО «ВымпелКом» ФИО16.
Кроме того, вышеописанными умышленными действиями Луппов Р.С. нанес вред КИИ, а именно АИС, принадлежащей на праве собственности ПАО «ВымпелКом», который выразился в модификации информации, содержащейся в указанной базе данных, внесении в нее недостоверной информации, что нарушило целостность информационной системы. При этом действия Луппова Р.С. повлекли за собой необходимость проведения дополнительных внеплановых мероприятий по оценке защищенности автоматизированной системы и актуализации циркулирующей в ней информации.
Подсудимый Луппов Р.С. виновным себя признал в полном объеме и показал, что с 2017 г. он работал в различных салонах сотовой связи «<данные изъяты>» в должности продавца. В 2018 или в 2019 году произошло слияние компании «<данные изъяты>» с компанией «<данные изъяты>», после чего Луппов стал работать в должности менеджера в салоне «<данные изъяты>», расположенном по адресу: <адрес>. С нормативными документами, регламентирующими его служебные обязанности, Луппов бегло ознакомился при приеме на работу в 2017 г., но подробно в содержание данных документов не вникал. После перехода Луппова на работу в салон связи «<данные изъяты>» в его должностных обязанностях фактически ничего не изменилось, он продолжал осуществлять продажу мобильных телефонов и различной компьютерной техники, а также реализовывал услуги сотовой связи различных операторов, в том числе и ПАО «ВымпелКом» (сотовая сеть «Билайн»), путем регистрации на конкретных лиц и продажи им сим-карт с абонентскими номерами. Для входа в автоматизированную информационную систему, посредством использования которой, в том числе, производится регистрация сим-карт на конкретных лиц, Луппову при устройстве на работу была оформлена личная учетная запись, а также предоставлен логин (имя пользователя) для подключения к этой учетной записи. Пароль для подключения к своей учетной записи Луппов создал сам, а затем периодически его изменял. Кроме того, для подключения к личной учетной записи требовалось выполнить сканирование пальца руки владельца данной учетной записи. Как во время работы в салонах «<данные изъяты>», так и в салоне «<данные изъяты>» руководство устанавливало каждому работнику планы продаж на месяц, в который включались планы реализации сим-карт. Указанные планы являлись завышенными, но за их неисполнение грозили финансовые или дисциплинарные санкции, в том числе лишение премии, которая составляла значительную часть заработной платы. В связи с этим в течение 2018 - 2019 годов, даты не помнит, Луппов в целях выполнения планов продаж сим-карт и получения за это премии, используя наличие у него доступа к автоматизированной информационной системе, находясь на рабочем месте, в салоне «<данные изъяты>», расположенном по адресу: <адрес>, зарегистрировал несколько сим-карт оператора «ВымпелКом» с абонентскими номерами сотовой сети «Билайн», перечисленными в обвинении, на вымышленное им лицо - ФИО1. При этом фиктивные анкетные данные ФИО1, в том числе и вымышленные реквизиты его паспорта, Луппов при оформлении сим-карт внес в автоматизированную информационную систему. Часть оформленных указанным образом сим-карт Луппов подарил знакомым, а часть - продал бесконтактным способом через интернет-ресурсы по номинальной стоимости, чтобы возместить свои затраты по внесению в кассу денег за сим-карты, зарегистрированные на вымышленное лицо.
Помимо признательных показаний подсудимого его виновность в совершении преступления подтверждена совокупностью следующих доказательств.
Представитель потерпевшего (ПАО «Вымпел-Коммуникации») ФИО17, протокол допроса которого был исследован в порядке ч.1 ст.281 УПК РФ (т.1 л.д.187-189), сообщил, что между названной организацией и АО «<данные изъяты>» заключен договор на распространение сим-карт с различными тарифами через офисы продаж «<данные изъяты>», за реализацию которых АО «<данные изъяты>» получает денежное вознаграждение. Указанный договор предусматривает условие о том, что АО «<данные изъяты>» обязуется исполнять требования законодательства и нормативных актов ПАО «Вымпелком» в части защиты информации ограниченного доступа и порядка реализации сим-карт.
ПАО «ВымпелКом» является субъектом критической информационной инфраструктуры РФ (далее - КИИ), которому на праве собственности принадлежат информационные системы и телекоммуникационные сети, зарегистрированные в реестре значимых объектов КИИ. 21.12.2018 г. президентом ПАО «Вымпелком» ФИО11 А.Е. утвержден перечень объектов критической инфраструктуры, согласно которому объектом КИИ признана, в том числе, автоматизированная система расчетов «Amdocs Ensemble», которая содержит сведения об абонентах и оказываемых им услугах связи.
Действия Луппова Р.С. по заключению договоров об оказании услуг связи от имени ПАО «ВымпелКом» на вымышленные (фиктивные) данные нанесли вред критической информационной инфраструктуре РФ, принадлежащей ПАО «ВымпелКом», - базе данных автоматизированной системы «Amdocs Ensemble», поскольку нарушили целостность и достоверность информации, циркулирующей в базе данных путем внесения в нее недостоверной информации. Действиями Луппова Р.С. скомпрометирована информация, содержащаяся в базе данных автоматизированной системы «Amdocs Ensemble», нанесен репутационный вред ПАО «ВымпелКом», поскольку в соответствии с Федеральным законом «О связи» упомянутая организация несет ответственность за достоверность информации, циркулирующей в информационной инфраструктуре оператора сотовой связи, ввиду того, что данная информация может быть использована при проведении оперативно-розыскных мероприятий и следственных действий, проводимых правоохранительными органами РФ, для решения задач, связанных с обеспечением безопасности РФ. Кроме того, из-за противоправных действий Луппова Р.С. возникла необходимость проведения работ по актуализации информации, циркулирующей в базе данных автоматизированной системы «Amdocs Ensemble».
Согласно показаниям свидетеля Свидетель №8, сотрудника подразделения безопасности ООО «<данные изъяты>», оглашенным при отсутствии возражений сторон (т.1 л.д.221-246), Луппов Р.С. был принят на работу в ООО «<данные изъяты>» 27.11.2017 г. на должность продавца на основании приказа № 27/11-47 лс от 27.11.2017 г. 11.09.2018 г. ООО «<данные изъяты>» была переименована в ООО «<данные изъяты>» в силу приказа № О-0056 от 11.09.2018 г. 01.02.2019 г. Луппов был переведен в ООО «<данные изъяты>» на должность менеджера по продажам согласно приказу № 3101-411 лс от 31.01.2019 г. 01.04.2019 г. Луппов был уволен в соответствии с приказом № 01/04-27 лс от 01.04.2019 г.
При трудоустройстве Луппову была создана новая учетная запись «ЛупповРС», при помощи которой он мог заключать договоры на оказание услуг связи с физическими лицами, действуя от имени операторов связи, в том числе от имени ПАО «Вымпелком» (оператор «Билайн»), и предоставлять информацию об оказанных услугах связи. Сотрудникам ООО «<данные изъяты>» запрещено передавать свою и пользоваться чужой учетной записью при осуществлении торговой деятельности и оформлении сим-карт. Использование Лупповым чужих учетных записей со стороны службы безопасности не фиксировалось, равно как и случаи использования учетной записи, принадлежащей Лупповым, другими сотрудниками ООО «<данные изъяты>». В ООО «<данные изъяты>» имеются локальные нормативные документы, которые регламентируют порядок оформления и продажи сим-карт клиентам, а также правила пользования информационными системами как принадлежащим ООО «<данные изъяты>», так и других организаций. В соответствии с указанными документами сотрудникам запрещено использовать информационные системы в своих интересах и оформлять сим-карты на недействительные паспортные данные. Между ООО «<данные изъяты>» и ПАО «Вымпелком» заключен договор, согласно которому ООО «<данные изъяты>» осуществляет распространение сим-карт ПАО «Вымпелком» на возмездной основе. Указанным договором предусмотрено, что ООО «<данные изъяты>» и его работники обязаны соблюдать требования, установленные федеральным законодательством и ПАО «ВымпелКом».
Свидетели Свидетель №4 (т.1 л.д.204-207), Свидетель №5 (т.1 л.д.208-211), Свидетель №7 (т.1 л.д.216-220), ФИО2 (т.2 л.д.10-13) и Свидетель №11 (т.2 л.д.14-18), работники салонов связи «<данные изъяты>», а затем «<данные изъяты>», протоколы допросов которых были оглашены на основании ч.1 ст.281 УПК РФ, аналогично пояснили, что в первые дни стажировки в названных салонах им разъясняли, что личная учетная запись сотрудника сохраняется весь период его работы, ее запрещено кому-либо передавать, при регистрации сим-карт необходимо вводить достоверные паспортные данные, а регистрировать сим-карты на вымышленных лиц («фродо» сим-карты) запрещено и за это предусмотрена ответственность. Как в ООО «<данные изъяты>», так и в ООО «<данные изъяты>» заработная плата работников напрямую зависела от выполнения ими планов продаж, то есть от количества проданных товаров и услуг, в том числе и сим-карт.
При этом свидетель Свидетель №7 уточнил, что в конце 2018 г. - в начале 2019 г., работая в одном офисе «<данные изъяты>» с Лупповым, расположенном на <адрес>, Свидетель №7 стал подозревать, что Луппов занимается незаконной деятельностью, поскольку последний начинал активно работать в компьютерной программе, посредством которой осуществляется продажа товаров и регистрация сим-карт, сразу после того как к нему подходили покупатели. Такое поведение Луппова было подозрительно тем, что за сотрудниками офисов «<данные изъяты>» наблюдают представители службы безопасности, поэтому, когда сотрудник совершает манипуляции в программе при отсутствии покупателей, в отношении него сразу начинается проверка.
Свидетель Свидетель №9, оперативный сотрудник УФСБ России по Ярославской области, в судебном заседании пояснил, что оперативная информация о регистрации работником салона связи «<данные изъяты>» Лупповым сим-карт оператора ПАО «ВымпелКом» на вымышленных лиц была получена в 2019 г. в связи с расследованием уголовного дела в отношении братьев ФИО38, которые осуществляли неправомерный доступ к охраняемой законом информации. После этого в результате проведенных оперативно-розыскных мероприятий информация о причастности Луппова к оформлению сим-карт на вымышленное лицо - ФИО1, нашла подтверждение, в том числе УВМ УМВД России по Ярославской области представило сведения о том, что паспорта, указанные Лупповым при регистрации сим-карт на имя ФИО1, не выдавались. В числе прочих, в отношении Луппова производилось оперативно-розыскное мероприятие «прослушивание телефонных переговоров», в ходе которого контролировались разговоры, осуществлявшиеся по абонентскому номеру Луппова, в результате чего были получены сведения, подтверждающие причастность Луппова к совершению преступления, которые затем были представлены в следственный орган. После реализации упомянутой выше информации Луппов активно сотрудничал с органами ФСБ.
Из показаний свидетеля Свидетель №2, оглашенных с согласия сторон (т.1 л.д.190-193), усматривается, что примерно с 2013 г. Свидетель №2 знаком с Лупповым, который приблизительно с 2018 г. работал в качестве менеджера в салонах сотовой связи «<данные изъяты>» и «<данные изъяты>», расположенных в г.Ярославле. В августе 2019 г. Луппов сообщил Свидетель №2 о том, что, начиная с конца 2018 г., работая в салоне связи, расположенном на <адрес>, Луппов приобретал сим-карты и заключал договоры на оказание услуг связи с оператором «Билайн» на данные вымышленного лица. При этом сведения о вымышленном владельце сим-карт Луппов вносил в базу данных «Билайн», доступ к которой у него имелся, поскольку он являлся сотрудником салона «<данные изъяты>». Со слов Луппов, всего он зарегистрировал порядка 40 сим-карт оператора «Билайн» на несуществующее лицо - ФИО1. Указанные сим-карты Луппов предлагал приобрести Свидетель №2.
Свидетель Свидетель №1, протокол допроса которого был исследован на основании ч.1 ст.281 УПК РФ (т.1 л.д.194-199), сообщил сведения, аналогичные вышеизложенным показаниям свидетеля Свидетель №2, а также указал, что разговор, происходивший 04.03.2019 г., в 09 часов 42 минуты, содержание которого записано в файле «66F135FF.wav, состоялся между Свидетель №1 и Лупповым. В ходе указанного разговора Свидетель №1 сказал Луппову, что ему необходимы сим-карты в количестве 10 штук на «данные клиента», то есть на паспортные данные, которые сообщил «клиент» - лицо, которое попросило Свидетель №1 приобрести сим-карты на те данные, которые он укажет. На это Луппов ответил, что у него есть «фродовые» сим-карты, то есть сим-карты, зарегистрированные на вымышленные данные. Также Свидетель №1 и Луппов обсуждали, что стоимость одной такой сим-карты составляет примерно 200-300 рублей («две-три бумаги»).
В соответствии с показаниями свидетеля Свидетель №3, оглашенными с согласия сторон (т.1 л.д.200-203), примерно с 2015 г. Свидетель №3 знаком с Лупповым, который работал в различных салонах связи, в том числе в салоне «<данные изъяты>» на <адрес>. Со слов Луппова Свидетель №3 известно о том что, работая в салоне «<данные изъяты>», Луппов осуществлял регистрацию сим-карт «Билайн» на выдуманное лицо с вымышленными паспортными данными, которые он вносил в биллинговые системы «Билайн». Луппов оформлял указанные сим-карты, чтобы использовать их при создании электронных кошельков различных платежных систем, а также для получения премий за выполнение планов продаж. Кроме того, упомянутые выше сим-карты Луппов бесплатно раздавал своим друзьям, в том числе, предлагал Свидетель №3 брать их бесплатно и использовать имеющиеся на счетах сим-карт денежные средства.
Свидетель Свидетель №10, протокол допроса которого был оглашен в силу норм ч.1 ст.281 УПК РФ (т.2 л.д.6-9), показал, что знаком с Лупповым с 2013 г. Один раз Луппов рассказывал Свидетель №10 о том, что во время работы в салоне связи «<данные изъяты>» Луппов оформлял сим-карты на вымышленные данные и вносил указанные сведения в базу данных «Билайн» со своего рабочего места.
Исходя из показаний свидетеля Свидетель №6, оглашенных с согласия сторон (т.1 л.д.212-215), она знакома с Лупповым с 2006 г. В 2017-2018 годах, когда Луппов работал в салонах по продаже мобильных телефонов, он сообщал ФИО1, что занимается какой-то противоправной деятельностью, связанной с его работой, от которой получает доход.
Кроме того, виновность Луппова Р.С. установлена следующими письменными и вещественными доказательствами.
Протоколом осмотра предметов (документов) от 09.07.2021 г., в ходе которого был исследован CD-R-диск, приложенный к письму ООО «<данные изъяты>» № 1333 от 02.04.2021 и представленный в следственный орган на основании постановления № 2/2155 от 08.06.2021 г. При этом установлено, что на диске имеется файл, содержащий информацию в виде таблицы, о регистрации сим-карт в салонах связи «<данные изъяты>» за период с 02.01.2018 г. по 25.04.2019 г. Из таблицы следует, что в период с 22.12.2018 г. по 14.03.2019 г. в офисе продаж «<данные изъяты>», расположенном на <адрес>, под учетной записью Луппова Р.С. зарегистрированы 36 сим-карт с абонентскими номерами «Билайн» (перечисленными в обвинении) на имя ФИО1, ДД.ММ.ГГГГ г.р., имеющего 2 паспорта гражданина РФ: серия №; серия №. (т.2 л.д.19-24).
Справкой УВМ УМВД России по Ярославской области от 01.10.2020 г., согласно которой сведения в отношении ФИО1, ДД.ММ.ГГГГ г.р., в автоматизированных учетах МВД России отсутствуют, паспорта граждан РФ серия № и серия № не выдавались. (т.1 л.д.30).
Протоколом осмотра и прослушивания фонограммы от 01.07.2021 г., в процессе которых был исследован CD-R диск № 21/404/921/CD-R от 01.06.2021 г. с результатами оперативно-розыскного мероприятия «прослушивание телефонных переговоров», представленными на основании постановления № 2/2155 от 08.06.2021 г. При этом установлено, что на диске, помимо прочих, в папке «04_03_2019» имеется файл «66F135FF.wav», содержащий аудиозапись разговора, состоявшегося ДД.ММ.ГГГГ, в 09 час. 42 мин., между Лупповым Р.С. (М), использовавшим абонентский № (входящий вызов), и Свидетель №1 (М2), использовавшим абонентский № (исходящий вызов). Во время указанного разговора Луппов Р.С. сообщает, что у него имеются «фродовые» сим-карты. (т.2 л.д.27-33)
Протоколом выемки от 29.07.2021 г., в ходе которой у свидетеля ФИО17 был изъят CD-R диск № B3126XJO7074706LH, содержащий нормативные документы ПАО «Вымпелком», регламентирующие порядок работы со сведениями ограниченного доступа, а также порядок оформления сим-карт. (т.2 л.д.37-39).
Протоколом осмотра предметов (документов) от 02.08.2021 г., в процессе которого был исследован CD-R диск, изъятый у ФИО17, в результате чего установлено, что Политика «Обработки персональных данных», утвержденная Президентом ПАО «ВымпелКом» А.Е. ФИО11 29.12.2017 г., помимо прочих, содержит следующие положения: п. 3.8 - При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Неполные или неточные данные должны быть удалены или уточнены; п. 7.2 - Работники Компании и иные лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства РФ в области обработки персональных данных.
Положение «Обработка и защита персональных данных Абонентов», утвержденное Вице-президентом ПАО «ВымпелКом» ФИО16 в 2017 году, в числе прочих, содержит следующие нормы: п. 2 - Оператор - Компания ПАО «ВымпелКом», самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; п. 3.1. - Персональные данные Абонентов - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), необходимая Оператору в связи с исполнением договора об оказании услуг связи Билайн, выполнения требований законодательства. К Персональным данным Абонентов относятся данные, указанные в договоре об оказании услуг связи, данные полученные от Абонента при исполнении договора, данные, относящиеся в соответствии со ст. 53 Федерального закона «О связи» к информации об Абоненте. п. 3.5. - Категории (состав/атрибуты) персональных данных Абонента: фамилия, имя, отчество; дата рождения; пол; реквизиты документа, удостоверяющего личность Абонента; место регистрации Абонента, в том числе номера домашнего и контактного телефонов, адрес доставки счета; псевдоним Абонента-гражданина; фамилия, имя, отчество руководителя и работников Абонента - юридического лица, адрес Абонента или адрес установки оконечного оборудования; абонентские номера; адреса электронной почты и другие идентификаторы электронных сервисов для обеспечения взаимосвязи с Абонентом в рамках договорных отношений; другие данные, позволяющие идентифицировать Абонента или его оконечное оборудование; кодовые слова, пароли, используемые Абонентом в рамках получения услуг связи; сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента. п. 3.7 - Персональные данные Абонентов относятся к категории информации ограниченного доступа. п. 4.1 - Оператор при обработке персональных данных Абонентов обязан соблюдать общие требования, установленные законодательством. п. 4.2 - Обработка персональных данных Абонентов осуществляется в целях обеспечения соблюдения законов и иных правовых актов РФ, в целях исполнения обязательств по оказанию услуг связи, проведения расчетов за услуги связи в рамках заключенных договоров и отношений, возникших при оказании услуг связи. п. 5.2 - Абонентские договоры заключаются непосредственно в офисах абонентского обслуживания Оператора, работниками, осуществляющими подключение абонентской линии по месту нахождения абонента или в офисах третьих лиц (агентов, дилеров), привлеченных Оператором в рамках заключенного договора. Оператор вправе привлекать к обработке персональных данных третьих лиц на основании соответствующего договора. п. 5.7 - При заключении Абонентского договора лицо, заключающее договор, предоставляет паспорт или иной документ, удостоверяющий личность.
Порядок «Обращение с информацией ограниченного доступа», утвержденный Президентом ПАО «ВымпелКом» А.Е. ФИО11 20.03.2018 г., содержит следующие положения. ПАО «ВымпелКом» в своей деятельности активно использует информационные технологии (далее - ИТ). В информационных системах (далее - ИС) Компании хранится и обрабатывается информация, связанная с бизнес процессами. Лица, получающие доступ к ИС Компании обязаны знать и исполнять требования Порядка обращения с информацией ограниченного доступа, принятого в Компании. Информационные ресурсы Компании предоставляются работникам компании для решения бизнес задач компании, их использование в других целях недопустимо. Запрещается намеренно подвергать системы любому риску, связанному с нарушением их работоспособности, а также конфиденциальности, целостности и доступности информации (п.п.1.3, 1.5). (т.2 л.д.40-61).
Справкой ООО «<данные изъяты>», в соответствии с которой 27.11.2017 г. Луппов Р.С. был принят на работу в ООО «<данные изъяты>» на должность продавца (приказ № 27/11-47ЛС от 27.11.2017 г.), а 01.02.2019 г. - был переведен на должность менеджера по продажам (приказ № 31/01-411ЛС от 31.01.2019 г). 11.09.2018 г. на основании приказа № О-0056 от 11.09.2018 г. ООО «<данные изъяты>» было переименовано в ООО «<данные изъяты>». (т.1 л.д.34).
Копиями:
- приказа № 27/11-47ЛС от 27.11.2017 г., на основании которого Луппов Р.С. был принят на работу в ООО «<данные изъяты>» на должность продавца (т.1 л.д.46);
- трудового договора № 231-Я от 27.11.2017 г., согласно которому Луппов Р.С. обязался выполнять работу продавца в ООО «<данные изъяты>» (т.1 л.д.47-50);
- должностной инструкции продавца ООО «<данные изъяты>», согласно которой продавец должен знать законодательные и иные нормативные правовые акты (п.1.7.3.); в обязанности продавца, помимо прочего, входит осуществление продаж услуг операторов, оформление необходимых документов на получение услуг связи и активация сим-карты, в том числе от имени оператора связи ПАО «ВымпелКом» (п.2.4.2.); продавец несет ответственность за ненадлежащее исполнение своих служебных обязанностей, неправомерное использование предоставленных служебных полномочий, использование их в личных целях, нарушение установленных правил общения с конфиденциальной информацией (п.п.4.1, 4.4, 4.7.) (т.1 л.д.35-38);
- сведений о прохождении Лупповым Р.С. вводных инструктажей от 27.11.2017 г. (т.1 л.д.45);
- листа ознакомления Луппова Р.С. с локальными нормативными актами № 903263 от 27.11.2017 г. (т.1 л.д.52).
Справкой ПАО «ВымпелКом» от 09.04.2021 г., согласно которой на основании Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», ПАО «ВымпелКом» является субъектом критической информационной инфраструктуры РФ (далее - КИИ), которому на праве собственности принадлежат информационные системы и телекоммуникационные сети, являющиеся объектами КИИ РФ.
При оформлении, выдаче и регистрации SIM-карт с абонентскими номерами, перечисленными в обвинении, были внесены изменения в автоматизированную систему расчетов «Amdocs Ensemble» (далее - АСР «Amdocs Ensemble»), которая содержит охраняемую законом компьютерную информацию, составляющую тайну связи и персональные данные граждан. АСР «Amdocs Ensemble» в соответствии Перечнем объектов критической информационной инфраструктуры ПАО «ВымпелКом» (утвержден президентом ПАО «ВымпелКом ФИО11 А.Е. 21.12.2018 г.) является объектом КИИ, представляет собой интегрированную биллинговую систему, которая решает широкий спектр задач ПАО «ВымпелКом». При признании АСР «Amdocs Ensemble» объектом КИИ учитывалась значимость информационной системы для обеспечения обороны страны, безопасности государства и правопорядка. В частности, «Amdocs Ensemble» необходима для реализации обязанностей ПАО «ВымпелКом», предусмотренных ст.64 Федерального закона от 07.07.2003 г. № 126-ФЗ «О связи», в соответствии с которой операторы связи обязаны предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию о пользователях услугами связи и об оказанных им услугах связи и иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.
Таким образом, нарушение целостности информации, обрабатываемой АСР «Amdocs Ensemble», путем ее модификации и внесения недостоверных данных препятствует исполнению со стороны ПАО «ВымпелКом» законодательства РФ в области связи и информационных технологий в части представления достоверных сведений правоохранительным органам, осуществляющим оперативно-розыскную деятельность.
Внесение недействительных данных абонента в АСР «Amdocs Ensemble», как модификация имеющейся информации, в соответствии со ст.2 Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» является компьютерным инцидентом, нарушающим безопасность информации, обрабатываемой в АСР «Amdocs Ensemble». Указанный компьютерный инцидент нанес вред критической информационной инфраструктуре ПАО «ВымпелКом», так как ее использование для нужд обеспечения обороны страны, безопасности государства и правопорядка без проведения дополнительных внеплановых мероприятий по оценке защищенности и актуализации информации, циркулирующей в ней, создаст препятствия в обеспечении деятельности государственных органов, осуществляющих оперативно-розыскную деятельность. В случае невыполнения мероприятий по оценке защищенности и актуализации информации, циркулирующей в КИИ (АСР «Amdocs Ensemble»), и предоставлении ПАО «ВымпелКом» недостоверных сведений в государственные органы, осуществляющие оперативно-розыскную деятельность или обеспечение безопасности РФ, может быть расценено как невыполнение требований, предъявляемых к оператору связи в соответствии с Федеральным законом от 07.07.2003 г. № 126-ФЗ «О связи», и, как следствие, лишение лицензии на оказание услуг связи. (т.1 л.д.60-62).
Проанализировав все представленные материалы дела в совокупности, суд находит их достаточными для признания подсудимого Луппова Р.С. виновным в совершении преступления, но лишь в объеме, сформулированном в описательной части.
В основу обвинительного приговора суд кладет показания представителя потерпевшего ФИО17, свидетелей Свидетель №8, Свидетель №2 и Свидетель №1, Свидетель №3, Свидетель №10, Свидетель №4, Свидетель №5, Свидетель №6, Свидетель №7, Свидетель №9, Свидетель №11 и ФИО2, а также признательные показания Луппова Р.С., данные им в судебном заседании, поскольку в целом они являются последовательными, непротиворечивыми и хронологически взаимосвязанными, подтверждают и уточняют друг друга, согласуются с объективными письменными и вещественными доказательствами.
При этом повода для оговора подсудимого представитель потерпевшего и свидетели не имеют, так как в неприязненных взаимоотношениях с последним не состояли, а признательные показания Луппова Р.С. соответствуют сведениям, сообщенным всеми перечисленных выше лицами, а также содержанию совокупности процессуальных документов, полученных из (от) источников, незаинтересованных в определенном решении по делу.
С учетом изложенного показания представителя потерпевшего, свидетелей и подсудимого в сочетании с иными материалами дела, принимаемыми за основу приговора, с необходимой полнотой свидетельствуют о наличии события преступления в объеме, признанном установленным, и о виновности Луппова Р.С. в его совершении.
Кроме того, суд опирается на письменные и вещественные доказательства, представленные стороной обвинения, основное содержание которых приведено в описательной части приговора, так как все упомянутые материалы дела добыты с соблюдением требований УПК РФ и ФЗ от 12.08.1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности».
В частности, оперативно-розыскное мероприятие, затрагивающее тайну телефонных переговоров, выполнено на основании судебного решения и в пределах срока, указанного в нем, все результаты оперативно-розыскной деятельности рассекречены и представлены в следственный орган согласно постановлениям, вынесенным уполномоченным руководителем УФСБ России по Ярославской области, в связи с чем они правомерно использованы в качестве повода и оснований для возбуждения уголовного дела, а также доказательств.
При этом все исследованные документы и материальные носители информации содержат достоверные данные, исходящие от компетентных должностных лиц и организаций, которые позволяют правильно восстановить фактические обстоятельства происходивших событий и верно оценить другие материалы дела.
Тем самым письменные и вещественные доказательства, которые подтверждают, конкретизируют и дополняют показания представителя потерпевшего, свидетелей и подсудимого, всесторонне изобличают Луппова Р.С. в совершении преступления.
Таким образом, суд находит установленными, что Луппов Р.В., действуя из корыстных побуждений, умышленно нарушил предусмотренные нормативными правовыми актами, указанными в описательной части приговора, правила эксплуатации средств хранения и обработки охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, информационных систем, относящихся к критической информационной инфраструктуре РФ, а также правил доступа к указанной информации и информационным системам, что повлекло причинение ей вреда, выразившегося в модификации упомянутой выше информации путем внесении в нее недостоверных сведений, что нарушило целостность информационной системы и вызвало необходимость проведения дополнительных внеплановых мероприятий по оценке защищенности автоматизированной системы и актуализации циркулирующей в ней информации.
Вместе с тем суд исключает из правовой оценки инкриминируемого деяния и описания его события указание на наличие квалифицирующего признака «с использованием своего служебного положения».
Приходя к такому решению, суд учитывает, что какие-либо документы, определяющие функции, полномочия и обязанности Луппова Р.С. в период замещения им должности менеджера по продажам в ООО «<данные изъяты>», в деле отсутствуют и суду не представлены. При этом утверждение в обвинении о том, что в упомянутый выше период за подсудимым сохранились положения ранее действовавших трудового договора и должностной инструкции, с исследованными доказательствами не согласуются, в том числе подобные сведения не содержатся в показаниях свидетеля Свидетель №8, в справках ООО «<данные изъяты>» и во всех иных исследованных материалах дела. В связи с этим рассматриваемое утверждение должно быть устранено из обвинения.
Тем самым отсутствие доказательств, свидетельствующих о формальном (документальном) наделении Луппова Р.С. в предусмотренном законом порядке конкретными трудовыми функциями, о предоставлении ему определенных служебных полномочий и возложении на него должностных обязанностей во время работы в качестве менеджера по продажам в ООО «<данные изъяты>», препятствует достоверному установлению круга таких функций, полномочий и обязанностей, что самостоятельно исключает возможность признания подтвержденным факта использования подсудимым при совершении преступления своего служебного положения.
Кроме того, принимая во внимание, что ч.4 ст.274.1 УК РФ устанавливает уголовную ответственность за совершение деяний, указанных в ч.ч.1-3 ст.274.1 УК РФ, при наличии квалифицирующих признаков, суд полагает, что по смыслу закона под лицом, использующим свое служебное положение, в ч.4 ст.274.1 УК РФ следует понимать должностных лиц, обладающих признаками, предусмотренными п.1 примечания к ст.285 УК РФ, государственных или муниципальных служащих, не являющихся должностными лицами, а также иных лиц, отвечающих требованиям, предусмотренным п.1 примечания к ст.201 УК РФ.
Однако Луппову Р.С. в обвинении не вменяется то, что в период работы менеджером по продажам в ООО «<данные изъяты>», он подпадал под вышеперечисленные критерии, что влечет за собой невозможность привлечения его к уголовной ответственности по признаку использования лицом своего служебного положения.
Более того, оцениваемый квалифицирующий признак в той форме, в которой он инкриминирован Луппову Р.С. в обвинении при правовой оценке его действий, диспозицией ч.4 ст.274.1 УК РФ не предусмотрен, что служит дополнительным препятствием для его применения судом.
Таким образом, суд квалифицирует действия Луппова Р.С. по ч.3 ст.274.1 УК РФ, как нарушение правил эксплуатации средств хранения и обработки охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, информационных систем, относящихся к критической информационной инфраструктуре РФ, правил доступа к указанной информации и информационным системам, что повлекло причинение вреда критической информационной инфраструктуре РФ.
При назначении наказания суд согласно ч.3 ст.60 УК РФ учитывает характер и степень общественной опасности совершенного преступления, личность виновного, обстоятельства, смягчающие наказание, влияние назначенного наказания на исправление осужденного и условия жизни его семьи.
В частности, суд принимает во внимание, что Луппов Р.С. совершил умышленное преступление в сфере компьютерной информации, отнесенное к категории тяжкого.
Достаточных оснований, в том числе и исключительного характера, связанных как с личностью подсудимого, так и с обстоятельствами совершенного им преступления, для применения положений ч.6 ст.15, ст.ст.53.1 и 64 УК РФ при вышеизложенных фактических данных не имеется.
Вместе с тем суд не усматривает обстоятельств, отягчающих наказание, а в качестве обстоятельств, смягчающих наказание, учитывает активное способствование раскрытию и расследованию преступления, а также на основании ч.2 ст.61 УК РФ - признание подсудимым виновности и выражение им раскаяния в содеянном, состояние здоровья матери Луппова Р.С., соответственно, руководствуется требованиями ч.1 ст.62 УК РФ.
Помимо этого, суд принимает во внимание молодой возраст Луппова Р.С., то, что он не судим, к уголовной и административной ответственности не привлекался, обладает регистрацией и местом жительства, трудоустроен в той же сфере деятельности, участковым уполномоченным полиции характеризуется удовлетворительно.
В связи с этим суд полагает, что цели уголовного наказания, предусмотренные ч.2 ст.43 УК РФ, достижимы при назначении Луппову Р.С. лишения свободы, но условно и размере, не являющемся приближенным к максимальному пределу, а также без применения дополнительного наказания и с установлением относительно непродолжительного испытательного срока, но с возложением на осужденного ряда обязанностей, которые позволят контролировать его поведение и образ жизни.
Судьбу вещественных доказательств суд разрешает в соответствии с требованиями ч.3 ст.81 УПК РФ.
На основании вышеизложенного и руководствуясь ст.ст.307-309 УПК РФ, суд
ПРИГОВОРИЛ:
Признать Луппова Р.С. виновным в совершении преступления, предусмотренного ч.3 ст.274.1УК РФ, и назначить ему наказание в виде 1 (одного) года 6 (шести) месяцев лишения свободы.
В соответствии со ст.73 УК РФ наказание, назначенное Луппову Р.С., считать условным с испытательным сроком 1 (один) год 6 (шесть) месяцев.
На основании ч.5 ст.73 УК РФ возложить на Луппова Р.С. в период испытательного срока исполнение следующих обязанностей: один раз в месяц являться для регистрации в специализированный государственный орган, осуществляющий контроль за поведением условно осужденного, по месту жительства согласно графику, определенному данным органом; не изменять место жительства и место работы без предварительного письменного уведомления специализированного государственного органа, осуществляющего контроль за поведением условно осужденного; не совершать административные правонарушения.
Меру пресечения в отношении Луппова Р.С. в виде подписки о невыезде и надлежащем поведении не изменять, отменив данную меру пресечения со дня вступления приговора в законную силу.
Вещественные доказательства: 3 CD-диска «Optodisc - CDR52x ZE6591 М01 S11», № 21/404/921/CD-R от 01.06.2021 г., № В3126XJO7074706LH - истребовать со склада ОМТО УФСБ России по Ярославской области и хранить при материалах уголовного дела.
Приговор может быть обжалован в апелляционном порядке в Ярославский областной суд в течение 10 суток со дня его постановления через Ленинский районный суд г.Ярославля. Осужденный и представитель потерпевшего вправе участвовать в рассмотрении уголовного дела судом апелляционной инстанции. Осужденный вправе поручать осуществление своей защиты избранному им защитнику либо ходатайствовать перед судом о назначении адвоката.
Раздел "Правоприменительная практика по ст.274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" на главной страницы блога - https://valerykomarov.blogspot.com/p/2741.html
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
