Опасная профессия - Валерий Комаров

«О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть «Интернет»)

Сканирование уязвимостей

Сфера деятельности, обязательная по нормативным документам ИБ, активно развивается, профессионально интересная. Основная проблема при уголовном преследовании — хакеры и специалисты ИБ используют одни и те же инструменты, что и порождает высокие риски наступления уголовной ответственности для специалистов ИБ и студентов.

«Установлено, что 01.03.2023 в период с 12:18 часов до 13:17 часов (по Московскому времени) М.С., находясь у себя дома по адресу: <адрес>, действуя умышленно, с целью проверки своих навыков по использованию программного обеспечения, достоверно зная, что ресурс <данные изъяты>, имеющий доменное имя "<данные изъяты>" с IP-адресом N, входит в информационно-телекоммуникационную сеть Университета, то есть относится к объектам критической информационной инфраструктуры, на мобильном телефоне марки "<данные изъяты>" открыл цифровое окно свободно распространяемого в сети "<данные изъяты> «ПО» <данные изъяты>», предназначенного для проведения сетевого аудита безопасности информационных ресурсов, в том числе в открытых телекоммуникационных сетях, ранее установленного на указанный мобильный телефон, и внес в него данные электронного адреса Университета "<данные изъяты>». После чего М.С. запустил указанное программное обеспечение с применением дополнительных скриптов (» <данные изъяты>»), осуществив использование данного программного обеспечения с целью проверки наличия на сайте "<данные изъяты>" уязвимостей.

Согласно заключению специалиста УФСБ России по <адрес> от 19.05.2023 на мобильном телефоне марки "<данные изъяты>" IMEI1: N, обнаружены следы размещения программного обеспечения "<данные изъяты>"; согласно сведениям, представленным в дампе трафика, установлено применение программного обеспечения "<данные изъяты>" для сканирования информационного ресурса "<данные изъяты>" Университета.»

(Приговор от 19.01.2024 по делу №1—21/2024)

С государственного IT особый спрос

Важный момент, состав преступления в форме подлога документов (внесение информации в ГИС), превышении должностных полномочий, нецелевое расходование бюджетных средств, халатности приведены в УК РФ в главе Глава 30. «Преступления против государственной власти, интересов государственной службы и службы в органах местного самоуправления» — это означает, что работники коммерческих организаций не привлекаются по ней.

А вот руководители ИТ-подразделений, цифровой трансформации, защиты информации (информационной безопасности/ безопасности КИИ) и аналогичных должны учитывать высокий риск привлечения к уголовной ответственности именно по этим статьям УК РФ.

Сейчас опишем потенциально опасные ситуации для государственного (бюджетного) ИТ специалиста при выполнении требований информационной безопасности, чтобы остаться в канве повествования о компьютерных преступлениях. То есть, какие обвинения можно получить при выполнении работ по защите информации.

Сначала разберемся кому это угрожает:

«Должностными лицами в статьях настоящей главы признаются лица, постоянно, временно или по специальному полномочию осуществляющие функции представителя власти либо выполняющие организационно-распорядительные, административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных учреждениях, государственных внебюджетных фондах, государственных корпорациях, государственных компаниях, публично-правовых компаниях, на государственных и муниципальных унитарных предприятиях, в хозяйственных обществах, в высшем органе управления которых Российская Федерация, субъект Российской Федерации или муниципальное образование имеет право прямо или косвенно (через подконтрольных им лиц) распоряжаться более чем пятьюдесятью процентами голосов либо в которых Российская Федерация, субъект Российской Федерации или муниципальное образование имеет право назначать (избирать) единоличный исполнительный орган и (или) более пятидесяти процентов состава коллегиального органа управления, в акционерных обществах, в отношении которых используется специальное право на участие Российской Федерации, субъектов Российской Федерации или муниципальных образований в управлении такими акционерными обществами („золотая акция“), а также в Вооруженных Силах Российской Федерации, других войсках и воинских формированиях Российской Федерации.»

Начнем с халатности, как наиболее характерного преступления именно по смыслу нашего исследования — не имел преступных намерений и оказался на скамье подсудимых.

Описание состава преступления «Халатность» очень похоже на «злоупотребление» и «превышение». А главное отличие при квалификации по халатности — небрежность в работе, то есть, халатно — это когда не осторожно.

Самонадеянно рассчитывал на то, что последствия от его действий не наступят либо им или иными лицами последствия будут предотвращены, либо не предвидел последствий, хотя должно было и могло их предвидеть.

Подозреваемый не имел умысла, он не хотел наступления последствий.

А вот превысить или злоупотребить своими полномочиями можно только умышленно и осознанно.

Или, по простому, халатность = и так сойдет! = авось!

Ст.293 УК РФ

«Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства

Крупным ущербом в настоящей статье признается ущерб, сумма которого превышает один миллион пятьсот тысяч рублей, а особо крупным — семь миллионов пятьсот тысяч рублей.»

Создал информационную систему и не провел ее аттестацию — наказан.

«З., являясь должностным лицом — руководителем Агентства связи и массовых коммуникаций Астраханской области, на которую в силу должностного регламента возложена персональная ответственность за реализацию программы «Внедрение спутниковых навигационных технологий с использованием системы ФИО9 и других результатов космической деятельности в интересах социально-экономического и инновационного развития Астраханской области в 2012—2016 годах», а также эффективное использование финансовых средств, в период с 18 августа 2011 г. по 31 декабря 2014 г. не проконтролировала деятельность исполнителей государственной программы, ввиду чего не обеспечила реализацию тех мероприятий, которые бы обеспечили возможность использования и эксплуатацию РНИС в соответствии с ее целями и задачами, ввиду чего надлежащим образом права на использование и эксплуатацию РНИС Астраханской области не оформлены, требования о защите информации, включая проведение аттестации РНИС Астраханской области в соответствии с программой и методиками аттестационных испытаний, заключение о соответствии с программой и методиками аттестационных испытаний, заключение о соответствии указанной информационной системы требованиям о защите информации, аттестат соответствия не получен..

признана виновной в совершении преступления, предусмотренного частью 1 статьи 293 Уголовного кодекса Российской Федерации — халатность, то есть ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного отношения к службе, если это повлекло причинение крупного ущерба и существенное нарушение прав и законных интересов граждан и охраняемых законом интересов общества и государства.»

(Решение от 09.09.2024 по делу №2—4236/2024)

Достаточно широкая практика квалификации «превышение служебных полномочий». Иногда самостоятельное обвинение, иногда в дополнение к классическим компьютерным преступлениям.

«Признавая вину фио установленной в полном объеме и подтвержденной собранными по делу доказательствами, суд квалифицирует его действия по ч.3 ст.272 УК РФ, как неправомерный доступ к компьютерной информации, то есть неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации, совершенное из корыстной заинтересованности, с использованием своего служебного положения.

Его же (фио) действия суд квалифицирует по ч.1 ст.286 УК РФ как превышение должностных полномочий, то есть совершение должностным лицом действий, явно выходящих за пределы его полномочий и повлекших существенное нарушение прав и законных интересов граждан и охраняемых законом интересов общества или государства.»

(Приговор от 14.04.2022 №1—363/22)

Для государственного ИТ характерны возможные последствия от нарушения работы информационных систем с серьезным масштабом и социально отягощенные, а так же высокий уровень стоимости госконтрактов.

«Под тяжкими последствиями как квалифицирующим признаком преступления, предусмотренным частью 3 статьи 285, пунктом „б“ части 2 статьи 285.4 и пунктом „в“ части 3 статьи 286 УК РФ, следует понимать последствия совершения преступления в виде крупных аварий и длительной остановки транспорта или производственного процесса, иного нарушения деятельности организации, причинение значительного материального ущерба, причинение смерти по неосторожности, самоубийство или покушение на самоубийство потерпевшего и т.п.»

(Постановление Пленума Верховного Суда РФ от 16.10.2009 №19 «О судебной практике по делам о злоупотреблении должностными полномочиями и о превышении должностных полномочий»)

Принял работы по аттестации информационной системы, выполненные «для получения бумажки», — наказан.

«В период времени с ДД. ММ. ГГГГ по ДД. ММ. ГГГГ, более точная дата и время в ходе предварительного следствия не установлены, у ФИО1, находящегося в неустановленном месте на территории Республики Потерпевший N 1, возник преступный умысел, направленный на превышение должностных полномочий в рамках государственного Контракта, то есть совершение должностным