Вирус Petya/NotPetya/ExPetr в 2017 году был
“We expect the cyber-attack will impact results negatively by USD 200–300m.”
Мы ожидаем, что кибер-атака негативно повлияет на результаты в размере 200-300 млн долларов США
Вы помните, что в середине 2017 был опубликован Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и этот закон вступил в силу с 1 января 2018 года, а вместе с ним вступили в силу изменения в Уголовный кодекс РФ.
Думаю, вопрос ответственности за нарушение уголовного законодательства РФ является актуальным для тех, чья работа связана с критической информационной инфраструктурой (далее — КИИ).
Внимание: в статье 2 картинки (одну вы видели) и много текста
Согласно ст. 14 закона о безопасности КИИ: «Нарушение требований настоящего Федерального закона и принятых в соответствии с ним иных нормативных правовых актов влечет за собой ответственность в соответствии с законодательством Российской Федерации».
Уточним нормы законодательства РФ, в соответствии с которым наступает уголовная ответственность.
В целях формирования нормативной базы в части уголовной ответственности за нарушения закона о КИИ законодатель внес изменения в Уголовный кодекс Российской Федерации, принятием отдельного Федерального закона N 194-ФЗ от 26.07.2017 «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона „О безопасности критической информационной инфраструктуры Российской Федерации“.
Как владельцев/эксплуатантов КИИ нас интересует части 3,4,5 ст. 274.1 УК РФ. Приведу текст частей 3,4,5 статьи 274.1 УК РФ полностью:
…
3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации,
— наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
4. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения,
— наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
5. Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия,
-наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.
Попробую провести анализ данных норм и привести возможное их применение в рамках судебной системы.
В конце статьи приведены определения некоторых юридических понятий, необходимых для комментирования норм уголовного закона.
Итак, для ч. 3, 4 и 5 ст. 274.1 УК РФ, предметом преступления является электронно-вычислительная машина (далее — ЭВМ), носитель информации, система ЭВМ, а также сети ЭВМ, которые имеют отношение к критической информационной инфраструктуре Российской Федерации.
Объектом преступления выступают общественные отношения, по обеспечению нормальной работы, функционированию ЭВМ, сети ЭВМ, системы ЭВМ, которые имеют отношение к критической информационной инфраструктуре Российской Федерации.
Объективная сторона преступления может быть, как действием, так и бездействием.
Нарушение правил эксплуатации заключается в несоблюдении правил работы с ЭВМ, сетями и др. оборудованием, нарушением должностных инструкций, а также нарушением правил обращения с охраняемой компьютерной информацией.
Нарушение правил эксплуатации может быть в форме активного действия, свежий пример: системный администратор аэропорта вычислял биткоины с использованием электрической сети аэропорта, так и бездействия, например: администратор не обновляет антивирусные базы.
Деяние, описанное в ч.3 ст. 274.1 с субъективной стороны характеризуется виной как в форме умысла, так и неосторожности. По аналогии со ст. 274 УК РФ лицо предвидит причинение вреда КИИ РФ в результате „нарушения им правил эксплуатации, но без достаточных к тому оснований самонадеянно рассчитывает на предотвращение последствий. Либо не предвидит указанных в законе последствий, хотя при необходимой внимательности и предусмотрительности должно было и могло предвидеть“. (6)
Субъект данного преступления — специальный: вменяемое лицо, достигшее возраста 16 лет, имеющее доступ к КИИ РФ, либо к объектам, относящимся к КИИ РФ в силу исполнения должностных обязанностей и обязанный исполнять установленные правила эксплуатации.
Обязательным признаком ч. 3 ст. 274.1 является общественно-опасные последствия в виде причинения вреда критической информационной инфраструктуре Российской Федерации.
Обратите внимание, на формулировку причинение “вреда критической информационной инфраструктуре Российской Федерации”, здесь необходимо выделить слово «вред».
Возникает вопрос, какого размера в денежном эквиваленте должны быть потери, чтобы их можно было отнести к категории „вред“?
Стоит также обратить внимание, что в п. 2 ст. 272 УК РФ есть интересное примечание: “Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей”.
При этом должна быть подтверждена причинно-следственная связь между фактом нарушения эксплуатации и причинением вреда.
С учетом изложенного, а также того, что понятие „вред“ в денежном выражении, очевидно, уже понятия „крупный ущерб“ — можно сказать, что под размером “вреда” КИИ РФ законодатель скорее всего понимает ущерб меньше одного миллиона рублей.
По аналогии со ст. 274 УК РФ: умышленные действия, повлекшие причинение вреда КИИ РФ (хищение отдельных компонентов, повреждение или уничтожение оборудования) не являются преступлениями, предусмотренными ст. 274.1 УК РФ – в этом случае деяния должны квалифицироваться по соответствующим статьям гл. 21 УК РФ.
Ответственность за преступления, описанные ч. 3 ст. 274.1 УК РФ без квалифицирующих признаков, дифференцирована, и выбор остается за судом:
— принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
— либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Фактически суд может в одном варианте привлечь к принудительным работам с лишением специальных прав (заниматься определенной деятельностью или занимать определенные должности) либо к лишению свободы на срок до шести лет с лишением специальных прав (заниматься определенной деятельностью или занимать определенные должности).
Части 4 и 5 статьи 274.1 УК РФ обладают рядом квалифицирующих признаков, рассмотрим их.
Часть 4 статьи 274.1 УК РФ гласит следующее: «Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения».
В данной части квалифицирующими признаками будут:
— группой лиц по предварительному сговору или организованной группой;
— лицо;
— с использованием своего служебного положения.
Здесь необходимо разъяснить понятие “использование своего служебного положения”. Позиция Пленума Верховного суда РФ в общем случае выглядит следующим образом: под лицами, использующими свое служебное положение, стоит понимать должностных лиц, служащих, а также лиц, осуществляющих управленческие функции в коммерческих и иных организациях. Более подробно можно ознакомиться в статье.
Как можно заметить, что в данном составе преступления должна присутствовать группа лиц предварительно, сговорившаяся, или организованная группа, которая готовит или уже совершила преступление. Нужно понимать, что общественная опасность от такого рода деяний значительно возрастает, при этом законодатель вводит уточняющий квалифицирующий признак: «с использованием своего служебного положения». В совокупности группа лиц с использованием своего служебного положения может нанести более существенный вред.
Стоит отметить, что организация группы для совершения преступления, так и участие в подобной группе является отдельным составом преступления и в рамках судебного преследования будет рассматриваться как отягчающее обстоятельство см. п. (в) ст. 63 УК РФ, а также ст. 35 УК РФ и ст. 210 УК РФ, соответственно наказание будет более суровым.
Как уже выше отмечалось в ч. 4 ст. 274.1. есть другой квалифицирующий признак: «лицо, с использованием своего служебного положения».
Указанная конструкция говорит, что в рамках ч. 3 ст. 274.1 лицом, которое может быть привлечено к ответственности, является не только непосредственный исполнитель, но и руководитель, в действиях которого есть такой состав преступления.
Поэтому законодатель вводит более суровую ответственность за преступления с такими квалифицирующими признаками:
наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
В связи с тем, что в контексте исследуемого вопроса стоит обратить внимание на наличие такого риска как: совершение преступления с использованием своего служебного положения и одновременно создание преступной группы с использованием своего должностного положения, т.е. появляется такое лицо, как организатор. Указанные деяния буду отдельными составами преступлений, с соответствующей ответственностью, которая будет учтена судом по правилам ст. 69 УК РФ.
Перейдем к рассмотрению ч. 5 ст. 274.1 УК РФ:
“Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия”
Как видим, появился еще один квалифицирующий признак “тяжкие последствия”.
Краткий анализ судебной практики показывает, что единого подхода к определению понятия «тяжких последствий» с точки зрения размера ущерба в денежном выражении не выявлено (более подробно можно ознакомиться в статье), в каждом случае суд должен установить размер вреда/тяжесть последствий, исходя из обстоятельств дела, а также контексте существующей правоприменительной практики и неопределенности толкования размеров ущерба, точно определить категорию последствия часто представляется крайне сложной задачей.
Однако, стоит обратить внимание, что категория “тяжкие последствия” описывает очевидно более опасные последствия, чем “крупный ущерб”, который был рассмотрен выше и определен как “ущерб, сумма которого превышает один миллион рублей”.
Одновременно с этим, несомненно, можно отнести к тяжким последствиям следующие события: гибель и серьезные травмы людей, разрушения инфраструктуры, повреждения зданий и сооружений, нанесению вреда безопасности государства и т.д.
Описанная часть, определяет еще более существенную ответственность за деяния с такими последствиями:
“наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового».
Думаю, стоит также остановиться на формулировке в санкционной части норм ч. 3,4,5 ст. 274.1 УК РФ: «с лишением права занимать определенные должности или заниматься определенной деятельностью на срок … лет или без такового».
С понятием «лишение права» все очевидно, может быть вынесен судебный запрет на замещение определенных должностей, например: руководящие должности или заниматься определенной деятельностью – например: оказывать услуги по защите информации. Срок действия запрета может носить как временный характер, так и бессрочный. Одновременно с этим у суда есть опция не включать в приговор судебный запрет на право занимать определенные должности или заниматься определенной деятельностью.
В заключении нужно отметить, что при сложности и несовершенстве законодательной базы и отсутствии судебной практики за совершение преступлений, описанных в ч. 3,4,5 статьи 274.1 УК РФ могут нести ответственность как непосредственные исполнители, так и руководство юридических лиц/государственных органов.
Размер ответственности законодатель логично ставит в зависимость от тяжести ущерба/последствий преступления, но по при этом не устанавливает правил градации определения тяжести последствий, оставляя данный вопрос на стороне судебной системы, которая в свою очередь может трактовать закон довольно широко.
На рисунке ниже представлены основные моменты, отраженные в статье.
Термины и определения
Предмет преступления — это конкретная материальная вещь, в которой проявляются определенные свойства общественных отношений (объекта преступлений), путем физического или психического воздействия на который причиняется социально-опасный вред в сфере общественных отношений. (1)
Объект преступления — это те поставленные под охрану уголовного закона общественные отношения, против которых направлено преступление.
Объективная сторона преступления — это внешнее проявление конкретного общественно опасного поведения, осуществляемого в определенных условиях, месте, времени и причиняющего вред общественным отношениям.
Субъективная сторона преступления — это психическое отношение лица к совершаемому им преступлению, которое характеризуется конкретной формой вины, мотивом и целью.
Субъект преступления — признается вменяемое физическое лицо, достигшее определенного законодателем возраста, которое совершило запрещенное законом общественно опасное деяние, причинившее вред объекту уголовно-правовой охраны. (ст. 19 УК РФ).
PS: дополнил название.
Leges intellegi ab omnibus debent (лат.) — законы должны быть понятны каждому.
Источники
Нормативно-правовые акты
(1) ФЗ от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
(2) «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (ред. от 20.12.2017) (с изм. и доп., вступ. в силу с 01.01.2018).
(3) ФЗ N 194-ФЗ от 26.07.2017 «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона „О безопасности критической информационной инфраструктуры Российской Федерации“.
Литература
(1) с. 17, Коржанский Н.И. — Предмет преступления. — Волгоград, 1975.
(2) «Комментарий к Уголовному кодексу Российской Федерации» (постатейный) (7-е издание, переработанное и дополненное) (под ред. Г.А. Есакова) («Проспект», 2017)
(3) Уголовное право России. Общая часть: Учебник / Под ред. Ф.Р. Сундурова, И.А. Тарханова. – 2-е изд., перераб. и доп. – М.: Статут, 2016. – 864 с.
(4) Уголовное право России. Особенная часть: Учебник / Под ред. Ф.Р. Сундурова, М.В. Талан. М.: Статут, 2012. – 943 с.
(5) Статья: Наступление тяжких последствий в результате злоупотребления полномочиями. www.s-yu.ru/articles/2012/6/5903.html
(6) Комментарий к Уголовному Кодексу Российской Федерации: stykrf.ru/274
Комментарии (53)
Ugrum
10.01.2018 17:08+3А что именно относится к КИИ РФ? Это где-нибудь расписано, или будет трактоваться в каждом отдельном случае по разному?
А то отключу я свою точку доступа дома, а потом окажется, что на ней висел условный отдел полиции №Х.
И из-за потери связи не смог в полной мере выполнять свои обязанности.
sharxan Автор
10.01.2018 17:23Есть такое определение. См. ниже.
объекты критической информационной инфраструктуры — информационные системы и информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, в сфере здравоохранения, транспорта, связи, в кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности;
Указ Президента РФ от 09.05.2017 N 203 «О Стратегии развития информационного общества в Российской Федерации на 2017 — 2030 годы»Ugrum
10.01.2018 17:31Очень уж оно расплывчатое, ну впрочем как и всё у нас. Т.е. эникея в банке коммерческом, порушившего сетку случайно, вполне можно насадить по части четвёртой (от 3 до 8)?
sharxan Автор
10.01.2018 18:07Это верхнеуровневый документ.
Нет, часть 4 уже по своему составу уже предполагает наличие умысла и вполне сознательных действий.
Эникею скорее ч.3 больше актуальна, хотя всегда возможны варианты.
mickvav
11.01.2018 11:21+1То есть вот мы — оператор связи. Стоит нам подключить абонента, относящегося к чему-то из списка, и техники/монтажники/админы ходят под вот этой ответственностью, правильно я понимаю?
sharxan Автор
11.01.2018 16:31Сфера действия закона о кии:
«Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также — критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.»
В некоторых случаях техники/монтажники могут попасть под действие закона, админы в полной мере.
Если вы оператор связи и крупный федеральный или может региональный, но занимаете большую долю рынка в регионе, то скорее сами по себе являетесь обладателем критическое инфраструктуры.
Если вы единственный оператор связи для объекта КИИ, то тоже. (на основании проекта критериев значимости кии — как его утвердят, будет понятно точно).
pyrk2142
10.01.2018 17:41также информационные системы… функционирующие в… кредитно-финансовой сфере
Получается, что банки к этому тоже относятся, и можно больно получить за «взлом» какого-то интернет-банка или сервиса банка?
И более интересный вопрос: можно ли заставить банк исправлять уязвимости? Или эти законы работают только в одну сторону?sharxan Автор
10.01.2018 18:13Да.
Будет зависеть от того, что за банк и что конкретно произошло. Если банк крупный и его деятельность сильно пострадала, то будут искать ломателей и ИТ банка тоже по шапке получит. Поэтому ИТ банка в свете закона должно будет заинтересовано закрывать насколько возможно уязвимости. (но нужно понимать, что не все уязвимости можно технически закрыть).pyrk2142
10.01.2018 20:37Спасибо, это довольно интересно. А в свете новых законов IT банка не получает по шапке, если кто-то сначала сообщил об уязвимости, а после отсутствия реакции раскрыл ее публично (очень частая история)? И кто является инициатором преследования по закону? Руководство коммерческой организации?
sharxan Автор
11.01.2018 11:08Спасибо. Что вы имеете в виду под уязвимостью: Полный путь проникновения в систему банка или уязвимость в ПО разработчика?
Вопросы вы задали интересные и одним комментарием сложно ответить. Обдумаю их более подробно и наверное напишу отдельный пост на эту тему.pyrk2142
11.01.2018 17:46Спасибо, будет очень круто: до этого не видел материалов, объясняющих ответственности или ее отсутствия за то, что какая-то уязвимость не исправлена.
Пример реальной ситуации: в двух банках из 10 крупнейших я знаю о существовании уязвимостей, благодаря которым можно получить доступ к данным о счётах пользователя (счёт, баланс, покупки, отдельно идут личные данные). Поэтому и стало интересно, несёт ли кто-то за это серьёзную ответственность.
Насколько я знаю, в Китае тоже делают что-то подобное с критичной инфраструктурой.
VolCh
11.01.2018 15:47Скорее всего органы власти точно могут быть инициаторами начала уголовного разбирательства даже без наличия заявлений от потерпевших. Статья публичного обвинения.
sharxan Автор
11.01.2018 16:13Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) в этом поможет.
alexoron
11.01.2018 12:15Ну написали закон, а что далее?
Неужели какой-то там очередной закон моментально закроет все дыры от уязвимостей нулевого дня, а также Hardware-уязвимости Intel/AMD/ARM процессоров???
Ахах, не смешите мои тапочки!
А может Кирилу нужно кадылом помахать да святой водичкой сверху закон окропить?
Тогда будет полная инф. безопасность, инфа 146%
Думаю, тут больше копают под майнеров.
navion
11.01.2018 12:25Думаю, тут больше копают под майнеров.
Будут сажать за блокировки банков через реестр Роскомпозора, которыми народ развлекался в прошлом году. Чинушей из РКН, естественно, никто виновными не сделает.
VolCh
11.01.2018 15:49Закон дыры не закроет, но позволит, например, наказывать работников, которые надлежащим образом не реагируют на сообщения о дырах. Это в теории, конечно.
sharxan Автор
11.01.2018 16:14-2Просто наличие уголовного кодекса уже дисциплинирует многих.
navion
11.01.2018 16:36Думаете трутни сразу поувольняются?
Скорее придумают как спихнуть ответственность на других. А нормальных сотрудников это демотивирует проявлять всякую инициативу за пределами ДИ.sharxan Автор
11.01.2018 19:14Конечно нет — это фантастика. Здесь больше вариантов.
Есть мнение, что при отсутствии угрозы наказания за преступления, количество людей, совершающих преступление увеличится.
Возьмем пример кражи. Есть люди которые не будут красть, т.к. считают это неприемлемым, есть которые будут красть всегда, а есть которые при возможности украсть и наличии наказания подумают, а нужно ли им это?
Таки и с этой историей. Кто-то спихнет обязанности на других, кто-то откажется их исполнять или сменит компанию не более спокойную, кто-то будет более вдумчиво подходить к тому, что делает.navion
12.01.2018 12:35Я считаю, что вреда от этого будет значительно больше. По сути это наказание инженеров за ошибки, в том время как западная философия их наооборот поощряет как источник развития и новых идей.
А в качестве вишенки на торте статья про самый гуманный и справедливый.sharxan Автор
12.01.2018 15:32Читал как-то эту статью. Есть еще хороший материал . В конце есть сводная инфографика, к сожалению, только в абсолютных цифрах.
Скажу так, в УК РФ нет ни одной статьи, которая запрещает что-либо делать, в статьях есть ответственность за определенные составы преступлений.
Относительно новых идей, экспериментов и ошибок.
Предлагаю такой пример.
В труднодоступном регионе из-за внутрибольничной инфекции нескольким новорожденным требуется немедленная помощь. В таких случаях обычно вызывают вертолет для транспортировки в областной центр и вопрос оперативно решается.
В результате некорректной настройки инженером сети (недостатка квалификации/как было установлено потом, желания поэкспериментировать с настройками) и отсутствия бэкапов настроек в удаленном труднодоступном регионе не было сотовой связи больше суток (это был единственный способ связи). Инженер живет в соседнем районе и знает о том, что сотовая связь является единственным способом связи. Вертолет в результате вызвать не смогли/машина отправленная за помощью не успела.
В результате несколько новорожденных погибли, при наличии связи у новорожденных вероятность выжить была бы выше.
Кого суд должен признать виновными в гибели новорожденных?navion
12.01.2018 15:40Хм, пошел читать определение халатности (ст. 239 УК РФ), а там всё уже есть. Тогда к чему новый закон?
sharxan Автор
12.01.2018 16:24+1Вот комментарий к статье Халатность УК РФ.
Этот состав преступления, является более общим по отношению к остальным составам преступления, связанным с нарушением правил. Как пример, нарушение правил ведения строительных работ.
С ст. 274.1 УК РФ аналогичная история (является специальным составом преступления по отношению к халатности), при этом данная статья предполагает более суровое наказание за наступление тяжких последствий.
svistkovr
что такое КИИ?
Vamp
Критическая информационная инфраструктура.
VolCh
Статья сильно выиграла бы от расшифровки и этого термина, а то объект преступления не ясен.
sharxan Автор
Дополнил. Спасибо.
navion
А что это означает?
И можно TL;DR для ленивых — кого, за что и на сколько могут посадить?
sharxan Автор
Вариантов может быть масса. Полагаю, если будет похожая история как с «Петром», то мы достаточно быстро увидим уголовное дело.
В свете последней уязвимости процессоров и сложностями с ее устранением — это весьма вероятный вектор развития событий.
navion
Нашел определение в Консультант Плюс:
Выходит, что закон касается только государственной инфраструктуры? Если не связывать с госами, то риск поехать на нары минимальный?
VolCh
Ну, если госы, например, используют коммерческие каналы, а вы их повредите...
sharxan Автор
Нет. В это новшество закона — он распространяется на частный бизнес тоже.
Большая часть этих компаний точно попадает в список www.forbes.ru/rating/350675-200-krupneyshih-rossiyskih-kompaniy-2017
talbot
Ну похоже попасть легко любому, даже если не работаешь в госструктуре или «крупной» компании: положить ГИС ГМП, СМЭВ (государственные) или ВТБ («крупная») можно на-раз, просто выполняя свои должностные обязанности.
scarab
Маятник качается, палка перегибается то в одну сторону, то в другую. Уголовные дела будут, и наверняка пострадают в том числе и невиновные — но, с другой стороны, уже реально достало всеобщее безнаказанное раздолбайство; достало видеть банки и крупные организации, живущие без бэкапов, без антивирусов, без обновлений.
Недавно делал аудит одной довольно крупной торговой сети, более ста магазинов по стране — оказалось, что там половина бизнес-критичных данных не бэкапится вообще. Просто потому, что не были распределены зоны ответственности — программисты думали, что этим должны заниматься системные администраторы, а системные администраторы не знали, что происходит на серверах у программистов и какие системы являются боевыми.
История с Петей — очень, очень хороший пример.
playnet
Не может быть в проде никаких «серверов программистов», и контуры разработки и работы должны быть физически разделены. И там уже сразу понятно становится, где чья сфера ответственности.
scarab
Напишите «не должно быть» и я с Вами соглашусь.
На практике я знаю множество организаций, включая банки из первой сотни, где программисты пилят боевые сервера на ходу.
playnet
Хорошо, «не должно быть». Только банки же должны быть сертифицированы по PCI DSS, а там даже админов сильно ограничивают, не то что программеров.
Хотя по мне — в банках за такое стоило бы и сажать, за некомпетентность.
Хотя есть же ещё devops…
scarab
По PCI DSS сертифицируются только организации, работающие с карточками, а далеко не каждый банк имеет свой собственный процессинг. Даже выпуская карты под своим именем, банк может иметь статус Associate, т.е. взаимодействовать с платёжной системой через организацию-принципала. Это существенно дешевле.
В итоге непосредственно процессинг может находиться у принципала и онлайн-обслуживание карт выполняет он, а в банк-ассоциат просто выгружается информация об остатках.
VolCh
Контуры могут быть и разделены, но администраторы могут и не знать, например, что разработчики создали ещё одну базу данных на производственных серверах в ходе деплоя какой-нибудь миграцией, которую нужно бэкапить.
playnet
В нормальном проде просто не может быть такого. Даже если у программеров и есть доступ (чаще если есть вообще то уровня тимлид и выше, а те способны уведомить о любых работах и изменениях админов), то только уровня точечных правок, но никак не «создать еще базу в прод». И такой подход снимает кучу проблем, мы даже в достаточно небольшой вебстудии в этом убедились не раз.
scarab
Для реализации любого вменяемого подхода в организации должно быть вменяемое IT-руководство. А до сих пор не редкость, когда на позиции начальника ИТ (как и других начальников) ставят всяких зятьёв, двоюродных племянников и т. д.
Ну или просто решают сэкономить на услугах хедхантеров, а тут приходит на собеседование весь такой благообразный чел, говорит много умных слов
авада кедавракапекс, опекс, айтиль, кобит и прочее. Гендир фшоке, тут же подписывает приказ о найме, вуаля.Я видел в начальниках ИТ бывших проджект-менеджеров, например. Внедряли какую-нибудь ERP или хотя бы просто CRM, а потом решили переманить менеджера проекта — ну он же знает продукт. А то, что за рамками продукта есть ещё целая вселенная — ему неведомо. Однажды вообще попался ИТ-директором чувак с экономическим образованием, работавший до этого в HR-департаменте. Или наоборот — ставят вчерашнего эникея, которому просто не хватает кругозора для того, чтобы вникнуть во все перипетии работы IT в организации. Результат будет примерно тот же.
navion
Особенно хорошо это будет работать с палочной системой у мусоров и прокуратуры, которые ищут крайних вместо виновных.
jno
DNS (в широком смысле), к примеру, у нас пока не «гос».
Но его отказ приведёт к «падению» тех же «госуслуг», «предназначенных для решения задач государственного управления».
как-то так.
Вангую новый вид наезда: принудительное отнесение бизнеса к КИИ.
Siemargl
Я тут писал статью про взлом почты, и коснулся темы этого закона со стороны операторов почты.
Видимо, никто не понял намека и обсуждать тему не стал.
Задам наводящий вопрос в более профильной теме здесь — а являются ли большие операторы почтовых служб РФ — Мэйл, Яндекс, Рамблер, да и сама Почта РФ, объектами КИИ РФ?
sharxan Автор
Почта РФ скорее да, чем нет. Отнесение остальных операторов будет зависеть от критериев оценки.
Есть такой проект документа: Проект постановления Правительства Российской Федерации «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования»
regulation.gov.ru/projects#npa=73423
lolhunter
Я думаю все зависит от того, чей ящик вы сломаете.
Если ящик, условно, рособоронэкспорта, который пользуется инфраструктурой Яндекса (или майла), то да. Вы взломали объект КИИ.
Если ящик Васи Пупкина — нет.
VolCh
А если блокировал работу Яндекса и Мэйла в принципе? )
lolhunter
А вот тут вопрос…
Даже если у вас был умысел, то доказать, что вы умышленно сломали яндекс что бы нанести урон рособоронэкспорту задача не тривиальная.
VolCh
Если Яндекс отнесут к КИИ просто по факту охвата, то пострадал ли рособоронэкспорт дело десятое будет.
Siemargl
Неверно. Субъект то правоприменения один — или все, или ничего
lolhunter
Ну так субъект есть ящик рособоронэкспортта. Где он — на яндексе или нет — не важно.
sharxan Автор
Дополнил. Спасибо.