Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской

(введена Федеральным законом от 26.07.2017 N 194-ФЗ)

1. Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации, —

наказываются принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.

2. Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации, —

наказывается принудительными работами на срок до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет и с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.

3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, —

наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

4. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения, —

наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

5. Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия, —

наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.

Об аспектах уголовной ответственности за неправомерное воздействие на критическую информационную инфраструктуру

На настоящий момент судебную практику по статье 274.1. УК РФ объективно нельзя охарактеризовать как обширную. Введение данной статьи в уголовный закон было продиктовано необходимостью обеспечить надлежащее исполнение одновременно принятого Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» путём установления мер уголовной ответственности в случаях существенного нарушения установленных законом требований, ограничений и запретов.

В правовом сообществе ожидалось, что статья 274.1. УК РФ будет расцениваться как специальная норма уголовного закона по отношению к статьям 272, 273, 274 УК РФ и найдет своё применение при расследовании инцидентов с информационными системами, особо охраняемых Законом о безопасности КИИ.

Что же произошло на практике, какие случаи пополнили судебную статистику привлечения к ответственности статье 274.1. УК РФ?

Привлечь квалифицированного «хакера» к уголовной ответственности и раскрыть преступление, связанное с неправомерной манипуляцией компьютерными данными, — задачи непростые, а статистика расследования уголовных дел по статье 274.1. УК РФ в районе «около ноля» просто недопустима в соответствии с устоявшимися взглядами правоохранительных органов.

С учетом подобных реалий органы обвинения начали формировать судебную практику по статье 274.1. УК РФ в отношении работников медицинских учреждений по фактам оформления ложных сертификатов о прохождении вакцинации против COVID-19, в отношении сотрудников салонов связи, оформлявших SIM-карты на чужие или вымышленные паспортные данные. Встречаются и случаи привлечения к ответственности кассиров АЗС за списание бонусных начислений с топливных карт клиентов, а также факты привлечения к ответственности сотрудников почтовых отделений, которые в целях выполнения «спущенного плана», оформляли банковские карты с использованием паспортных данных клиентов отделения.

Суть обвинения по всем вышеописанным случаям достаточно схожа. Обвиняемым лицам инкриминируется осуществление с использованием служебных полномочий неправомерного доступа к компьютерной информации, отнесенной законом к КИИ, повлекшего за собой её модификацию путем внесения в базы данных недостоверной информации. Следствие полагает, а суды соглашаются с тем, что, внося недостоверные сведения в информационные системы КИИ, обвиняемые лица «нарушают целостность» этой информационной системы, в результате чего, «циркулирующие в системе сведения теряют объективность, достоверность и актуальность«.

Рекомендация  Статья 38. Причинение вреда при задержании лица совершившего преступление 2024

Подобное применение закона вызывает логичный вопрос о сопоставимости общественной опасности вышеописанных действий и предусмотренной законом суровостью уголовного наказания по статье 274.1. УК РФ. Если руководствоваться подобным взглядом правоприменителей, получается, что если лицо внесло запись о ложной вакцинации на бумажный носитель, например, в журнал учета профилактических прививок по форме № 064/у, то ответственность по статье 274.1. УК РФ ему не грозит.

Если же внесение должностным лицом такой записи в буквальном смысле было осуществлено с помощью клавиатуры, то подобные действия расцениваются уголовным законом как совершение тяжкого преступления, влекущего за собой назначение наказания в виде лишения свободы на срок от 3-х до 8-ми лет.

Очевидно, что подобная практика применения статьи 274.1. УК РФ не может расцениваться как адекватная и законная. Вряд ли законодатель вкладывал в уголовный закон посыл столь жесткого уголовного преследования за внесение несоответствующих действительности данных в информационные базы.

Виновником подобного правового «перекоса» является неверное понимание и толкование норм уголовного закона в системе общего правового регулирования.

Ответим на следующие ключевые вопросы:

  • Могут ли вышеописанные случаи «нарушения целостности» информационных систем КИИ, расцениваться как совершение преступлений по статье 274.1. УК РФ?
  • Какие правовые аспекты следует в обязательном порядке устанавливать и процессуально оценивать по уголовным делам о нарушении безопасности критической информационной инфраструктуры Российской Федерации?

Согласно диспозиции статьи 274.1. УК РФ уголовным законом преследуется неправомерное воздействие на компьютерную информацию, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации.

Как неоднократно подчеркивал Конституционный Суд Российской Федерации, любое преступление должно быть четко определено в законе, причем так, чтобы, исходя непосредственно из текста нормы, каждый мог предвидеть уголовно-правовые последствия своих действий или бездействия. Уголовная ответственность за правонарушения может считаться законно установленной, когда преступное деяние ясно и четко определено уголовным законом, встроенным в общую систему правового регулирования. Кроме того, оценка степени определенности содержащихся в уголовном законе понятий должна осуществляться исходя не только из самого текста закона, используемых формулировок, но и из их места в системе нормативных предписаний.

Безусловно, что в систему правового регулирования отношений, охраняемых статьей 274.1. УК РФ входит упомянутый Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации«, который был введен в национальное законодательство одновременно с изменениями в Уголовном кодексе Российской Федерации о наказуемости противоправных действий, связанных с безопасностью КИИ.

Внимательное изучение норм Федерального закона № 187-ФЗ позволяет сделать выводы о том, какие именно общественные отношения охраняет статья 274.1. УК РФ, и наступление каких именно негативных последствий расценивается как нарушение охраняемого законом порядка.

Первое, на что следует обратить внимание – это сфера действия Федерального закона № 187-ФЗ. В статье 1 Закона закреплено, что он регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении неё компьютерных атак.

Таким образом, вред, причиняемый уголовно-наказуемым деянием по статье 274.1. УК РФ, должен быть неразрывно связан с нарушением состояния защищенности (безопасности) критической информационной инфраструктуры при целенаправленном воздействии на неё программных и (или) программно-аппаратных средств.

Такие правовые понятия как «целостность, объективность, достоверность и актуальность» компьютерной информации в системе КИИ, фигурирующие в рассматриваемых примерах судебной практики, в Федеральном законе № 187-ФЗ даже не упоминаются и, соответственно, именно данным федеральным законом не охраняются.

Кроме того, поименованный закон недвусмысленно указывает, что область его применения связана с обеспечением устойчивости к компьютерным атакам, направленным на нарушение и/или прекращение функционирования объектов КИИ и/или создания угрозы безопасности обрабатываемой такими объектами информации. Соответственно, целью специального Закона о безопасности КИИ и обеспечивающей его исполнение статьи 274.1. УК РФ является обеспечение устойчивости информационных систем при совершении на них целенаправленных компьютерных атак.

Противоправные действия, связанные корректировкой информации, содержащейся в КИИ информации или с внесением в неё недостоверных сведений ни коим образом не отражается на устойчивости функционирования объектов КИИ.

Вышеуказанные примеры из судебной практики, по мнению автора, не могут образовывать состава преступления, предусмотренного статьей 274.1. УК РФ, поскольку они не связаны с нарушением работоспособности объектов КИИ и не выполняются с помощью компьютерных атак.

Вторым ключевым моментом в уголовных делах рассматриваемой категории является вопрос правильной процессуальной оценки вреда, наступление которого образует состав преступления по статье 274.1. УК РФ.

Вред, в понимании данной статьи, является оценочной категорией. Факт его причинения определяется органом следствия и судом в каждом конкретном случае.

Рекомендация  Уведомление о выселении из квартиры образец предупреждение требование о выселении из жилого 2024

Для надлежащего понимания категории «вред» по статье 274.1. УК РФ логично вновь обратиться к положению вышеуказанного специального закона, поскольку он содержит в себе указание, на предотвращение каких именно последствий он направлен.

Из совокупного анализа положений статей 1 и 2 Федерального закона № 187-ФЗ следует, что нарушение работы и прекращение деятельности информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления (АСУ) субъектов КИИ признается причинением вреда охраняемым законом правовым отношениям.

Статья 7 Закона дает более детальное описание причинения вреда, а именно прекращение или нарушение функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальное по времени отсутствие доступа к государственной услуге для получателей услуг.

Полагаем, что в этой статье законодатель дал правовой ориентир на правовые последствия, расцениваемые как тяжкие последствия, наступление которых должно квалифицироваться по части 5 статьи 274.1. УК РФ.

Таким образом, Федеральный закон № 187-ФЗ и статья 274.1. УК РФ определяют, что вред, причиняемый критической информационной инфраструктуре Российской Федерации, состоит в нарушении и/или прекращении функционирования объектов КИИ и/или создании угрозы безопасности обрабатываемой информации такими объектами информации.

Третий момент. Как уже отмечалось ранее, цель Федерального закона № 187-ФЗ – это поддержание устойчивого функционирования критической информационной инфраструктуры при компьютерных атаках. Руководствуясь, закрепленными в статье 2 Закона правовыми понятиями, преступными по статье 274.1.

УК РФ признаются действия, посягающие на безопасность значимых объектов в области здравоохранения, науки, транспорта, связи, энергетики, в банковской и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонно-ракетно-космической, горнодобывающей, металлургической, химической промышленности и других областях.

Значимым объектом КИИ признается объект, которому присвоена одна из категорий значимости и который включен в соответствующий реестр. Критерии значимости объектов определяются в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127, которое признает таковыми показатели возможного причинения ущерба жизни и здоровью людей, возможного прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, возможного прекращения или нарушения проведения клиентами операций по банковским счетам и т.д.

Иными словами, названные нормы очерчивают круг информационных данных, неправомерное воздействие на которые оказывает влияние на устойчивое функционирование объектов КИИ, и посягательство на которые представляет реальную опасность для интересов общества, безопасности граждан и государства.

Безусловно, что неправомерное воздействие на автоматизированную систему управления транспортным потоком или подстанцию электросетей, в результате которого нарушается или прекращается функционирование этих объектов, должны преследоваться по статье 274.1. УК РФ, поскольку объектом преступного посягательства здесь являются критические важные информационные системы, связанные с личной и общественной безопасностью.

В тоже время в судебной практике присутствуют прецеденты привлечения к ответственности по статье 274.1. УК РФ, когда рядовой сотрудник значимого объекта КИИ внёс изменение в систему учета рабочего времени, скрыв подобным образом факт своего опоздания на рабочее место. Вопрос, каким образом сотрудник повлиял на информационные данные, отвечающие за устойчивую работоспособность объекта КИИ, скорее риторический.

По мнению автора, инициация уголовного преследования за воздействие на объект КИИ без установления конкретного предмета посягательства является недопустимой.

В каждом случае правоприменитель обязан установить, находится ли в прямой технической взаимосвязи подвергшаяся неправомерному воздействию информационная система или информация с устойчивостью функционирования объекта КИИ по своему основному предназначению. Например, была ли компьютерная атака направлена на прекращение подачи электроэнергии потребителям или на организацию сбоя в работе светофорного регулирования дорожной сети.

Случаи неправомерного доступа к компьютерной информации, напрямую не затрагивающей основную деятельность объекта КИИ, например, изменение содержимого интернет-сайта такого объекта, не могут квалифицироваться как совершение преступления по статье 274.1. УК РФ.

О неправомерном воздействии на критическую информационную инфраструктуру Российской Федерации

В 2017 году Уголовный кодекс Российской Федерации был дополнен статьей 274.1, предусматривающей уголовную ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

Предмет преступлений, предусмотренных настоящей статьей, является охраняемая компьютерная информация, содержащаяся в критической информационной инфраструктуре Российской Федерации.

В соответствии со ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» критическая информационная инфраструктура — объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Объект этих преступлений — безопасность критической информационной инфраструктуры РФ, поскольку она может функционировать в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливноэнергетического комплекса, в области атомной энергии, оборонной, ракетнокосмической, горнодобывающей, металлургической, химической промышленности и других сферах, дополнительным объектом может быть информационная безопасность в любой сфере деятельности государства и общества.

Согласно ч. 1 ст. 274.1 УК РФ объективная сторона характеризуется действиями, состоящими в создании, распространении и (или) использовании компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации.

Преступление в этой форме является оконченным в момент совершения любого из перечисленных действий: создания, распространения или использования соответствующих программ.

Рекомендация  Принудительная продажа квартиры через суд 2024

Согласно ч. 2 ст. 274.1 УК РФ объективная сторона заключается в неправомерном доступе к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру и, или иных вредоносных компьютерных программ, если он повлек причинение вреда. Преступление в этой форме окончено в момент неправомерного доступа к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре, любым из перечисленных в диспозиции способов либо иным незаконным способом.

Согласно ч. 3 ст. 274.1 УК РФ объективная сторона выражается в действиях или бездействии, означающих нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к ней, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи.

Преступление в этой форме является оконченным с наступлением последствий в виде причинения вреда критической информационной инфраструктуре.

Субъективная сторона преступлений, предусмотренных ч. 1 и 2 ст. 274.1 УК РФ, характеризуется прямым умыслом, а деяние, предусмотренное частью 3, может совершаться и по неосторожности.

Субъект преступления, предусмотренного ч. 3 ст. 274.1 УК РФ является специальный: лицо, на которое возложена обязанность соблюдать правила эксплуатации соответствующих средств, систем и сетей, а также обязанность соблюдать правила доступа к соответствующим информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи.

Прокурор разъясняет — Прокуратура Тамбовской области

Уголовный Кодекс Российской Федерации дополнен статьей 274.1 — Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации может повлечь наказание в виде лишения свободы сроком от двух до пяти лет, а то же деяние, повлекшее тяжкие последствия – лишение свободы до десяти лет.

Напомним, что с первого января 2018 вводится в действие и Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который предусматривает функционирование государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации как единого территориально распределенного комплекса, включающего силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Принципами обеспечения безопасности критической информационной инфраструктуры являются в том числе и непрерывность и комплексность обеспечения безопасности критической информационной инфраструктуры, достигаемые в том числе за счет взаимодействия уполномоченных федеральных органов исполнительной власти и субъектов критической информационной инфраструктуры а также приоритет предотвращения компьютерных атак.

Предварительное расследование уголовных дел о новых преступлениях будет осуществляться следователями органов федеральной службы безопасности.

Прямая ссылка на материал

  • Вконтакте
  • LiveJournal

Прокуратура
Тамбовской области

Прокуратура Тамбовской области

Дата публикации:

30 ноября 2017, 13:31

Уголовная ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации

Уголовный Кодекс Российской Федерации дополнен статьей 274.1 — Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации может повлечь наказание в виде лишения свободы сроком от двух до пяти лет, а то же деяние, повлекшее тяжкие последствия – лишение свободы до десяти лет.

Напомним, что с первого января 2018 вводится в действие и Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который предусматривает функционирование государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации как единого территориально распределенного комплекса, включающего силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

Принципами обеспечения безопасности критической информационной инфраструктуры являются в том числе и непрерывность и комплексность обеспечения безопасности критической информационной инфраструктуры, достигаемые в том числе за счет взаимодействия уполномоченных федеральных органов исполнительной власти и субъектов критической информационной инфраструктуры а также приоритет предотвращения компьютерных атак.

Предварительное расследование уголовных дел о новых преступлениях будет осуществляться следователями органов федеральной службы безопасности.

Похожие записи:

  1. Статья 274. Нарушение правил эксплуатации средств хранения обработки или передачи компьютерной
  2. Статья 274 ГПК РФ. Решение суда по заявлению об усыновлении 2024
  3. Статья 325.1. Неправомерное завладение государственным регистрационным знаком транспортного
  4. Статья 166. Неправомерное завладение автомобилем или иным транспортным средством без цели хищения
  5. Статья 185.6. Неправомерное использование инсайдерской информации 2024
  6. Неправомерное начисление платежей за электроэнергию 2024