Вирус Petya/NotPetya/ExPetr в 2017 году был «хорошим» примером насколько крупный бизнес может пострадать от такого рода атаки, например, Maersk оценила ущерб от «Пети»:
“We expect the cyber-attack will impact results negatively by USD 200–300m.”
Мы ожидаем, что кибер-атака негативно повлияет на результаты в размере 200-300 млн долларов США

Вы помните, что в середине 2017 был опубликован Федеральный закон от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и этот закон вступил в силу с 1 января 2018 года, а вместе с ним вступили в силу изменения в Уголовный кодекс РФ.

Думаю, вопрос ответственности за нарушение уголовного законодательства РФ является актуальным для тех, чья работа связана с критической информационной инфраструктурой (далее — КИИ).

Внимание: в статье 2 картинки (одну вы видели) и много текста



Согласно ст. 14 закона о безопасности КИИ: «Нарушение требований настоящего Федерального закона и принятых в соответствии с ним иных нормативных правовых актов влечет за собой ответственность в соответствии с законодательством Российской Федерации».
Уточним нормы законодательства РФ, в соответствии с которым наступает уголовная ответственность.
В целях формирования нормативной базы в части уголовной ответственности за нарушения закона о КИИ законодатель внес изменения в Уголовный кодекс Российской Федерации, принятием отдельного Федерального закона N 194-ФЗ от 26.07.2017 «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона „О безопасности критической информационной инфраструктуры Российской Федерации“.

Как владельцев/эксплуатантов КИИ нас интересует части 3,4,5 ст. 274.1 УК РФ. Приведу текст частей 3,4,5 статьи 274.1 УК РФ полностью:

ч. 3,4,5 ст. 274.1 УК РФ
Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации

3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации,
наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.


4. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения,
— наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.


5. Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия,
-наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.



Попробую провести анализ данных норм и привести возможное их применение в рамках судебной системы.
В конце статьи приведены определения некоторых юридических понятий, необходимых для комментирования норм уголовного закона.

Итак, для ч. 3, 4 и 5 ст. 274.1 УК РФ, предметом преступления является электронно-вычислительная машина (далее — ЭВМ), носитель информации, система ЭВМ, а также сети ЭВМ, которые имеют отношение к критической информационной инфраструктуре Российской Федерации.
Объектом преступления выступают общественные отношения, по обеспечению нормальной работы, функционированию ЭВМ, сети ЭВМ, системы ЭВМ, которые имеют отношение к критической информационной инфраструктуре Российской Федерации.
Объективная сторона преступления может быть, как действием, так и бездействием.
Нарушение правил эксплуатации заключается в несоблюдении правил работы с ЭВМ, сетями и др. оборудованием, нарушением должностных инструкций, а также нарушением правил обращения с охраняемой компьютерной информацией.
Нарушение правил эксплуатации может быть в форме активного действия, свежий пример: системный администратор аэропорта вычислял биткоины с использованием электрической сети аэропорта, так и бездействия, например: администратор не обновляет антивирусные базы.
Деяние, описанное в ч.3 ст. 274.1 с субъективной стороны характеризуется виной как в форме умысла, так и неосторожности. По аналогии со ст. 274 УК РФ лицо предвидит причинение вреда КИИ РФ в результате „нарушения им правил эксплуатации, но без достаточных к тому оснований самонадеянно рассчитывает на предотвращение последствий. Либо не предвидит указанных в законе последствий, хотя при необходимой внимательности и предусмотрительности должно было и могло предвидеть“. (6)
Субъект данного преступления — специальный: вменяемое лицо, достигшее возраста 16 лет, имеющее доступ к КИИ РФ, либо к объектам, относящимся к КИИ РФ в силу исполнения должностных обязанностей и обязанный исполнять установленные правила эксплуатации.
Обязательным признаком ч. 3 ст. 274.1 является общественно-опасные последствия в виде причинения вреда критической информационной инфраструктуре Российской Федерации.

Обратите внимание, на формулировку причинение “вреда критической информационной инфраструктуре Российской Федерации”, здесь необходимо выделить слово «вред».
Возникает вопрос, какого размера в денежном эквиваленте должны быть потери, чтобы их можно было отнести к категории „вред“?
Стоит также обратить внимание, что в п. 2 ст. 272 УК РФ есть интересное примечание: “Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей”.
При этом должна быть подтверждена причинно-следственная связь между фактом нарушения эксплуатации и причинением вреда.
С учетом изложенного, а также того, что понятие „вред“ в денежном выражении, очевидно, уже понятия „крупный ущерб“ — можно сказать, что под размером “вреда” КИИ РФ законодатель скорее всего понимает ущерб меньше одного миллиона рублей.

По аналогии со ст. 274 УК РФ: умышленные действия, повлекшие причинение вреда КИИ РФ (хищение отдельных компонентов, повреждение или уничтожение оборудования) не являются преступлениями, предусмотренными ст. 274.1 УК РФ – в этом случае деяния должны квалифицироваться по соответствующим статьям гл. 21 УК РФ.

Ответственность за преступления, описанные ч. 3 ст. 274.1 УК РФ без квалифицирующих признаков, дифференцирована, и выбор остается за судом:
— принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
— либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Фактически суд может в одном варианте привлечь к принудительным работам с лишением специальных прав (заниматься определенной деятельностью или занимать определенные должности) либо к лишению свободы на срок до шести лет с лишением специальных прав (заниматься определенной деятельностью или занимать определенные должности).

Части 4 и 5 статьи 274.1 УК РФ обладают рядом квалифицирующих признаков, рассмотрим их.
Часть 4 статьи 274.1 УК РФ гласит следующее: «Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения».
В данной части квалифицирующими признаками будут:
— группой лиц по предварительному сговору или организованной группой;
— лицо;
— с использованием своего служебного положения.
Здесь необходимо разъяснить понятие “использование своего служебного положения”. Позиция Пленума Верховного суда РФ в общем случае выглядит следующим образом: под лицами, использующими свое служебное положение, стоит понимать должностных лиц, служащих, а также лиц, осуществляющих управленческие функции в коммерческих и иных организациях. Более подробно можно ознакомиться в статье.
Как можно заметить, что в данном составе преступления должна присутствовать группа лиц предварительно, сговорившаяся, или организованная группа, которая готовит или уже совершила преступление. Нужно понимать, что общественная опасность от такого рода деяний значительно возрастает, при этом законодатель вводит уточняющий квалифицирующий признак: «с использованием своего служебного положения». В совокупности группа лиц с использованием своего служебного положения может нанести более существенный вред.
Стоит отметить, что организация группы для совершения преступления, так и участие в подобной группе является отдельным составом преступления и в рамках судебного преследования будет рассматриваться как отягчающее обстоятельство см. п. (в) ст. 63 УК РФ, а также ст. 35 УК РФ и ст. 210 УК РФ, соответственно наказание будет более суровым.
Как уже выше отмечалось в ч. 4 ст. 274.1. есть другой квалифицирующий признак: «лицо, с использованием своего служебного положения».
Указанная конструкция говорит, что в рамках ч. 3 ст. 274.1 лицом, которое может быть привлечено к ответственности, является не только непосредственный исполнитель, но и руководитель, в действиях которого есть такой состав преступления.
Поэтому законодатель вводит более суровую ответственность за преступления с такими квалифицирующими признаками:
наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

В связи с тем, что в контексте исследуемого вопроса стоит обратить внимание на наличие такого риска как: совершение преступления с использованием своего служебного положения и одновременно создание преступной группы с использованием своего должностного положения, т.е. появляется такое лицо, как организатор. Указанные деяния буду отдельными составами преступлений, с соответствующей ответственностью, которая будет учтена судом по правилам ст. 69 УК РФ.

Перейдем к рассмотрению ч. 5 ст. 274.1 УК РФ:
“Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия”
Как видим, появился еще один квалифицирующий признак “тяжкие последствия”.
Краткий анализ судебной практики показывает, что единого подхода к определению понятия «тяжких последствий» с точки зрения размера ущерба в денежном выражении не выявлено (более подробно можно ознакомиться в статье), в каждом случае суд должен установить размер вреда/тяжесть последствий, исходя из обстоятельств дела, а также контексте существующей правоприменительной практики и неопределенности толкования размеров ущерба, точно определить категорию последствия часто представляется крайне сложной задачей.
Однако, стоит обратить внимание, что категория “тяжкие последствия” описывает очевидно более опасные последствия, чем “крупный ущерб”, который был рассмотрен выше и определен как “ущерб, сумма которого превышает один миллион рублей”.
Одновременно с этим, несомненно, можно отнести к тяжким последствиям следующие события: гибель и серьезные травмы людей, разрушения инфраструктуры, повреждения зданий и сооружений, нанесению вреда безопасности государства и т.д.
Описанная часть, определяет еще более существенную ответственность за деяния с такими последствиями:
“наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового».

Думаю, стоит также остановиться на формулировке в санкционной части норм ч. 3,4,5 ст. 274.1 УК РФ: «с лишением права занимать определенные должности или заниматься определенной деятельностью на срок … лет или без такового».
С понятием «лишение права» все очевидно, может быть вынесен судебный запрет на замещение определенных должностей, например: руководящие должности или заниматься определенной деятельностью – например: оказывать услуги по защите информации. Срок действия запрета может носить как временный характер, так и бессрочный. Одновременно с этим у суда есть опция не включать в приговор судебный запрет на право занимать определенные должности или заниматься определенной деятельностью.

В заключении нужно отметить, что при сложности и несовершенстве законодательной базы и отсутствии судебной практики за совершение преступлений, описанных в ч. 3,4,5 статьи 274.1 УК РФ могут нести ответственность как непосредственные исполнители, так и руководство юридических лиц/государственных органов.
Размер ответственности законодатель логично ставит в зависимость от тяжести ущерба/последствий преступления, но по при этом не устанавливает правил градации определения тяжести последствий, оставляя данный вопрос на стороне судебной системы, которая в свою очередь может трактовать закон довольно широко.
На рисунке ниже представлены основные моменты, отраженные в статье.



Термины и определения
Предмет преступления — это конкретная материальная вещь, в которой проявляются определенные свойства общественных отношений (объекта преступлений), путем физического или психического воздействия на который причиняется социально-опасный вред в сфере общественных отношений. (1)
Объект преступления — это те поставленные под охрану уголовного закона общественные отношения, против которых направлено преступление.
Объективная сторона преступления — это внешнее проявление конкретного общественно опасного поведения, осуществляемого в определенных условиях, месте, времени и причиняющего вред общественным отношениям.
Субъективная сторона преступления — это психическое отношение лица к совершаемому им преступлению, которое характеризуется конкретной формой вины, мотивом и целью.
Субъект преступления — признается вменяемое физическое лицо, достигшее определенного законодателем возраста, которое совершило запрещенное законом общественно опасное деяние, причинившее вред объекту уголовно-правовой охраны. (ст. 19 УК РФ).

PS: дополнил название.
Leges intellegi ab omnibus debent (лат.) — законы должны быть понятны каждому.

Источники
Нормативно-правовые акты
(1) ФЗ от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
(2) «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (ред. от 20.12.2017) (с изм. и доп., вступ. в силу с 01.01.2018).
(3) ФЗ N 194-ФЗ от 26.07.2017 «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона „О безопасности критической информационной инфраструктуры Российской Федерации“.

Литература
(1) с. 17, Коржанский Н.И. — Предмет преступления. — Волгоград, 1975.
(2) «Комментарий к Уголовному кодексу Российской Федерации» (постатейный) (7-е издание, переработанное и дополненное) (под ред. Г.А. Есакова) («Проспект», 2017)
(3) Уголовное право России. Общая часть: Учебник / Под ред. Ф.Р. Сундурова, И.А. Тарханова. – 2-е изд., перераб. и доп. – М.: Статут, 2016. – 864 с.
(4) Уголовное право России. Особенная часть: Учебник / Под ред. Ф.Р. Сундурова, М.В. Талан. М.: Статут, 2012. – 943 с.
(5) Статья: Наступление тяжких последствий в результате злоупотребления полномочиями. www.s-yu.ru/articles/2012/6/5903.html
(6) Комментарий к Уголовному Кодексу Российской Федерации: stykrf.ru/274

Комментарии (53)


  1. svistkovr
    10.01.2018 15:47

    что такое КИИ?


    1. Vamp
      10.01.2018 16:04

      Критическая информационная инфраструктура.


      1. VolCh
        10.01.2018 16:18
        +1

        Статья сильно выиграла бы от расшифровки и этого термина, а то объект преступления не ясен.


        1. sharxan Автор
          10.01.2018 16:29

          Дополнил. Спасибо.


          1. navion
            10.01.2018 16:45

            А что это означает?
            И можно TL;DR для ленивых — кого, за что и на сколько могут посадить?


            1. sharxan Автор
              10.01.2018 17:14

              Вариантов может быть масса. Полагаю, если будет похожая история как с «Петром», то мы достаточно быстро увидим уголовное дело.
              В свете последней уязвимости процессоров и сложностями с ее устранением — это весьма вероятный вектор развития событий.


              1. navion
                10.01.2018 17:24

                Нашел определение в Консультант Плюс:

                критическая информационная инфраструктура Российской Федерации (далее — критическая информационная инфраструктура) — совокупность автоматизированных систем управления КВО и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий;

                Выходит, что закон касается только государственной инфраструктуры? Если не связывать с госами, то риск поехать на нары минимальный?


                1. VolCh
                  10.01.2018 17:35

                  Ну, если госы, например, используют коммерческие каналы, а вы их повредите...


                1. sharxan Автор
                  10.01.2018 18:23

                  Нет. В это новшество закона — он распространяется на частный бизнес тоже.
                  Большая часть этих компаний точно попадает в список www.forbes.ru/rating/350675-200-krupneyshih-rossiyskih-kompaniy-2017


                  1. talbot
                    10.01.2018 20:00

                    Ну похоже попасть легко любому, даже если не работаешь в госструктуре или «крупной» компании: положить ГИС ГМП, СМЭВ (государственные) или ВТБ («крупная») можно на-раз, просто выполняя свои должностные обязанности.


                    1. scarab
                      10.01.2018 21:54

                      Маятник качается, палка перегибается то в одну сторону, то в другую. Уголовные дела будут, и наверняка пострадают в том числе и невиновные — но, с другой стороны, уже реально достало всеобщее безнаказанное раздолбайство; достало видеть банки и крупные организации, живущие без бэкапов, без антивирусов, без обновлений.
                      Недавно делал аудит одной довольно крупной торговой сети, более ста магазинов по стране — оказалось, что там половина бизнес-критичных данных не бэкапится вообще. Просто потому, что не были распределены зоны ответственности — программисты думали, что этим должны заниматься системные администраторы, а системные администраторы не знали, что происходит на серверах у программистов и какие системы являются боевыми.
                      История с Петей — очень, очень хороший пример.


                      1. playnet
                        10.01.2018 22:09

                        Не может быть в проде никаких «серверов программистов», и контуры разработки и работы должны быть физически разделены. И там уже сразу понятно становится, где чья сфера ответственности.


                        1. scarab
                          10.01.2018 22:18

                          Напишите «не должно быть» и я с Вами соглашусь.
                          На практике я знаю множество организаций, включая банки из первой сотни, где программисты пилят боевые сервера на ходу.


                          1. playnet
                            13.01.2018 23:11

                            Хорошо, «не должно быть». Только банки же должны быть сертифицированы по PCI DSS, а там даже админов сильно ограничивают, не то что программеров.
                            Хотя по мне — в банках за такое стоило бы и сажать, за некомпетентность.
                            Хотя есть же ещё devops…


                            1. scarab
                              14.01.2018 20:50

                              По PCI DSS сертифицируются только организации, работающие с карточками, а далеко не каждый банк имеет свой собственный процессинг. Даже выпуская карты под своим именем, банк может иметь статус Associate, т.е. взаимодействовать с платёжной системой через организацию-принципала. Это существенно дешевле.
                              В итоге непосредственно процессинг может находиться у принципала и онлайн-обслуживание карт выполняет он, а в банк-ассоциат просто выгружается информация об остатках.


                        1. VolCh
                          11.01.2018 15:43

                          Контуры могут быть и разделены, но администраторы могут и не знать, например, что разработчики создали ещё одну базу данных на производственных серверах в ходе деплоя какой-нибудь миграцией, которую нужно бэкапить.


                          1. playnet
                            13.01.2018 23:06

                            В нормальном проде просто не может быть такого. Даже если у программеров и есть доступ (чаще если есть вообще то уровня тимлид и выше, а те способны уведомить о любых работах и изменениях админов), то только уровня точечных правок, но никак не «создать еще базу в прод». И такой подход снимает кучу проблем, мы даже в достаточно небольшой вебстудии в этом убедились не раз.


                            1. scarab
                              14.01.2018 21:01

                              Для реализации любого вменяемого подхода в организации должно быть вменяемое IT-руководство. А до сих пор не редкость, когда на позиции начальника ИТ (как и других начальников) ставят всяких зятьёв, двоюродных племянников и т. д.
                              Ну или просто решают сэкономить на услугах хедхантеров, а тут приходит на собеседование весь такой благообразный чел, говорит много умных слов авада кедавра капекс, опекс, айтиль, кобит и прочее. Гендир фшоке, тут же подписывает приказ о найме, вуаля.
                              Я видел в начальниках ИТ бывших проджект-менеджеров, например. Внедряли какую-нибудь ERP или хотя бы просто CRM, а потом решили переманить менеджера проекта — ну он же знает продукт. А то, что за рамками продукта есть ещё целая вселенная — ему неведомо. Однажды вообще попался ИТ-директором чувак с экономическим образованием, работавший до этого в HR-департаменте. Или наоборот — ставят вчерашнего эникея, которому просто не хватает кругозора для того, чтобы вникнуть во все перипетии работы IT в организации. Результат будет примерно тот же.


                      1. navion
                        10.01.2018 23:57

                        Особенно хорошо это будет работать с палочной системой у мусоров и прокуратуры, которые ищут крайних вместо виновных.


                1. jno
                  11.01.2018 11:10

                  DNS (в широком смысле), к примеру, у нас пока не «гос».

                  Но его отказ приведёт к «падению» тех же «госуслуг», «предназначенных для решения задач государственного управления».

                  как-то так.

                  Вангую новый вид наезда: принудительное отнесение бизнеса к КИИ.


          1. Siemargl
            11.01.2018 09:40

            Я тут писал статью про взлом почты, и коснулся темы этого закона со стороны операторов почты.
            Видимо, никто не понял намека и обсуждать тему не стал.

            Задам наводящий вопрос в более профильной теме здесь — а являются ли большие операторы почтовых служб РФ — Мэйл, Яндекс, Рамблер, да и сама Почта РФ, объектами КИИ РФ?


            1. sharxan Автор
              11.01.2018 10:50

              Почта РФ скорее да, чем нет. Отнесение остальных операторов будет зависеть от критериев оценки.

              Есть такой проект документа: Проект постановления Правительства Российской Федерации «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования»
              regulation.gov.ru/projects#npa=73423


            1. lolhunter
              11.01.2018 11:02

              Я думаю все зависит от того, чей ящик вы сломаете.
              Если ящик, условно, рособоронэкспорта, который пользуется инфраструктурой Яндекса (или майла), то да. Вы взломали объект КИИ.
              Если ящик Васи Пупкина — нет.


              1. VolCh
                11.01.2018 15:44

                А если блокировал работу Яндекса и Мэйла в принципе? )


                1. lolhunter
                  11.01.2018 15:51

                  А вот тут вопрос…
                  Даже если у вас был умысел, то доказать, что вы умышленно сломали яндекс что бы нанести урон рособоронэкспорту задача не тривиальная.


                  1. VolCh
                    11.01.2018 15:58

                    Если Яндекс отнесут к КИИ просто по факту охвата, то пострадал ли рособоронэкспорт дело десятое будет.


              1. Siemargl
                11.01.2018 20:49

                Неверно. Субъект то правоприменения один — или все, или ничего


                1. lolhunter
                  11.01.2018 22:37

                  Ну так субъект есть ящик рособоронэкспортта. Где он — на яндексе или нет — не важно.


    1. sharxan Автор
      10.01.2018 16:29

      Дополнил. Спасибо.


  1. Ugrum
    10.01.2018 17:08
    +3

    А что именно относится к КИИ РФ? Это где-нибудь расписано, или будет трактоваться в каждом отдельном случае по разному?
    А то отключу я свою точку доступа дома, а потом окажется, что на ней висел условный отдел полиции №Х.
    И из-за потери связи не смог в полной мере выполнять свои обязанности.


    1. sharxan Автор
      10.01.2018 17:23

      Есть такое определение. См. ниже.

      объекты критической информационной инфраструктуры — информационные системы и информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, в сфере здравоохранения, транспорта, связи, в кредитно-финансовой сфере, энергетике, топливной, атомной, ракетно-космической, горнодобывающей, металлургической и химической промышленности;

      Указ Президента РФ от 09.05.2017 N 203 «О Стратегии развития информационного общества в Российской Федерации на 2017 — 2030 годы»


      1. Ugrum
        10.01.2018 17:31

        Очень уж оно расплывчатое, ну впрочем как и всё у нас. Т.е. эникея в банке коммерческом, порушившего сетку случайно, вполне можно насадить по части четвёртой (от 3 до 8)?


        1. sharxan Автор
          10.01.2018 18:07

          Это верхнеуровневый документ.
          Нет, часть 4 уже по своему составу уже предполагает наличие умысла и вполне сознательных действий.
          Эникею скорее ч.3 больше актуальна, хотя всегда возможны варианты.


      1. mickvav
        11.01.2018 11:21
        +1

        То есть вот мы — оператор связи. Стоит нам подключить абонента, относящегося к чему-то из списка, и техники/монтажники/админы ходят под вот этой ответственностью, правильно я понимаю?


        1. sharxan Автор
          11.01.2018 16:31

          Сфера действия закона о кии:
          «Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также — критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак
          В некоторых случаях техники/монтажники могут попасть под действие закона, админы в полной мере.

          Если вы оператор связи и крупный федеральный или может региональный, но занимаете большую долю рынка в регионе, то скорее сами по себе являетесь обладателем критическое инфраструктуры.
          Если вы единственный оператор связи для объекта КИИ, то тоже. (на основании проекта критериев значимости кии — как его утвердят, будет понятно точно).


  1. Ugrum
    10.01.2018 17:30

    del/веткой промазал/


  1. pyrk2142
    10.01.2018 17:41

    также информационные системы… функционирующие в… кредитно-финансовой сфере


    Получается, что банки к этому тоже относятся, и можно больно получить за «взлом» какого-то интернет-банка или сервиса банка?

    И более интересный вопрос: можно ли заставить банк исправлять уязвимости? Или эти законы работают только в одну сторону?


    1. sharxan Автор
      10.01.2018 18:13

      Да.
      Будет зависеть от того, что за банк и что конкретно произошло. Если банк крупный и его деятельность сильно пострадала, то будут искать ломателей и ИТ банка тоже по шапке получит. Поэтому ИТ банка в свете закона должно будет заинтересовано закрывать насколько возможно уязвимости. (но нужно понимать, что не все уязвимости можно технически закрыть).


      1. pyrk2142
        10.01.2018 20:37

        Спасибо, это довольно интересно. А в свете новых законов IT банка не получает по шапке, если кто-то сначала сообщил об уязвимости, а после отсутствия реакции раскрыл ее публично (очень частая история)? И кто является инициатором преследования по закону? Руководство коммерческой организации?


        1. sharxan Автор
          11.01.2018 11:08

          Спасибо. Что вы имеете в виду под уязвимостью: Полный путь проникновения в систему банка или уязвимость в ПО разработчика?
          Вопросы вы задали интересные и одним комментарием сложно ответить. Обдумаю их более подробно и наверное напишу отдельный пост на эту тему.


          1. pyrk2142
            11.01.2018 17:46

            Спасибо, будет очень круто: до этого не видел материалов, объясняющих ответственности или ее отсутствия за то, что какая-то уязвимость не исправлена.
            Пример реальной ситуации: в двух банках из 10 крупнейших я знаю о существовании уязвимостей, благодаря которым можно получить доступ к данным о счётах пользователя (счёт, баланс, покупки, отдельно идут личные данные). Поэтому и стало интересно, несёт ли кто-то за это серьёзную ответственность.

            Насколько я знаю, в Китае тоже делают что-то подобное с критичной инфраструктурой.


        1. VolCh
          11.01.2018 15:47

          Скорее всего органы власти точно могут быть инициаторами начала уголовного разбирательства даже без наличия заявлений от потерпевших. Статья публичного обвинения.


          1. sharxan Автор
            11.01.2018 16:13

            Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) в этом поможет.


  1. alexoron
    11.01.2018 12:15

    Ну написали закон, а что далее?
    Неужели какой-то там очередной закон моментально закроет все дыры от уязвимостей нулевого дня, а также Hardware-уязвимости Intel/AMD/ARM процессоров???
    Ахах, не смешите мои тапочки!
    А может Кирилу нужно кадылом помахать да святой водичкой сверху закон окропить?
    Тогда будет полная инф. безопасность, инфа 146%
    Думаю, тут больше копают под майнеров.


    1. navion
      11.01.2018 12:25

      Думаю, тут больше копают под майнеров.

      Будут сажать за блокировки банков через реестр Роскомпозора, которыми народ развлекался в прошлом году. Чинушей из РКН, естественно, никто виновными не сделает.


    1. VolCh
      11.01.2018 15:49

      Закон дыры не закроет, но позволит, например, наказывать работников, которые надлежащим образом не реагируют на сообщения о дырах. Это в теории, конечно.


      1. sharxan Автор
        11.01.2018 16:14
        -2

        Просто наличие уголовного кодекса уже дисциплинирует многих.


        1. navion
          11.01.2018 16:36

          Думаете трутни сразу поувольняются?
          Скорее придумают как спихнуть ответственность на других. А нормальных сотрудников это демотивирует проявлять всякую инициативу за пределами ДИ.


          1. sharxan Автор
            11.01.2018 19:14

            Конечно нет — это фантастика. Здесь больше вариантов.
            Есть мнение, что при отсутствии угрозы наказания за преступления, количество людей, совершающих преступление увеличится.
            Возьмем пример кражи. Есть люди которые не будут красть, т.к. считают это неприемлемым, есть которые будут красть всегда, а есть которые при возможности украсть и наличии наказания подумают, а нужно ли им это?
            Таки и с этой историей. Кто-то спихнет обязанности на других, кто-то откажется их исполнять или сменит компанию не более спокойную, кто-то будет более вдумчиво подходить к тому, что делает.


            1. navion
              12.01.2018 12:35

              Я считаю, что вреда от этого будет значительно больше. По сути это наказание инженеров за ошибки, в том время как западная философия их наооборот поощряет как источник развития и новых идей.

              А в качестве вишенки на торте статья про самый гуманный и справедливый.


              1. sharxan Автор
                12.01.2018 15:32

                Читал как-то эту статью. Есть еще хороший материал . В конце есть сводная инфографика, к сожалению, только в абсолютных цифрах.

                Скажу так, в УК РФ нет ни одной статьи, которая запрещает что-либо делать, в статьях есть ответственность за определенные составы преступлений.

                Относительно новых идей, экспериментов и ошибок.

                Предлагаю такой пример.
                В труднодоступном регионе из-за внутрибольничной инфекции нескольким новорожденным требуется немедленная помощь. В таких случаях обычно вызывают вертолет для транспортировки в областной центр и вопрос оперативно решается.
                В результате некорректной настройки инженером сети (недостатка квалификации/как было установлено потом, желания поэкспериментировать с настройками) и отсутствия бэкапов настроек в удаленном труднодоступном регионе не было сотовой связи больше суток (это был единственный способ связи). Инженер живет в соседнем районе и знает о том, что сотовая связь является единственным способом связи. Вертолет в результате вызвать не смогли/машина отправленная за помощью не успела.
                В результате несколько новорожденных погибли, при наличии связи у новорожденных вероятность выжить была бы выше.

                Кого суд должен признать виновными в гибели новорожденных?


                1. navion
                  12.01.2018 15:40

                  Хм, пошел читать определение халатности (ст. 239 УК РФ), а там всё уже есть. Тогда к чему новый закон?


                  1. sharxan Автор
                    12.01.2018 16:24
                    +1

                    Вот комментарий к статье Халатность УК РФ.
                    Этот состав преступления, является более общим по отношению к остальным составам преступления, связанным с нарушением правил. Как пример, нарушение правил ведения строительных работ.
                    С ст. 274.1 УК РФ аналогичная история (является специальным составом преступления по отношению к халатности), при этом данная статья предполагает более суровое наказание за наступление тяжких последствий.