Изменения в ст. 274.1 УК РФ о неправомерном воздействии на критическую информационную инфраструктуру

Совфед одобрил поправки в ст. 274.1 УК РФ, которые уточняют последствия необходимые для привлечения к уголовной ответственности за неправомерный доступ к компьютерной информации в критической информационной инфраструктуре (КИИ), а также за нарушение правил эксплуатации объектов КИИ или правил доступа к ним.

Если раньше для привлечения к уголовной ответственности требовалось доказать причинение вреда КИИ, то теперь достаточно установить, что неправомерный доступ или нарушение правил эксплуатации объектов КИИ либо правил доступа к ним повлекли уничтожение, блокирование, модификацию либо копирование компьютерной информации, содержащейся в КИИ.

Для бизнеса это означает рост рисков, связанных с внутренними нарушениями, ошибками администрирования и неисполнением обязанностей сотрудниками, отвечающими за доступ, эксплуатацию, мониторинг и безопасность таких объектов.

1. Какие действия и бездействие сотрудников могут быть квалифицированы по ст. 274.1 УК РФ

▪️Самовольное изменение архитектуры сети.

Под уголовный риск может подпадать подключение неучтенного оборудования, настройка несанкционированного выхода в Интернет из закрытого контура КИИ, создание удаленного рабочего места или иного нерегламентированного канала доступа к системе.

▪️Использование штатного доступа вне установленного порядка.

Риски возникают, когда сотрудник использует собственный или чужой доступ для внесения недостоверных сведений, изменения записей или выгрузки данных из объекта КИИ с последующей передачей третьим лицам.

▪️Передача логинов и паролей третьим лицам.

Риск возникает и тогда, когда сотрудник передает свои учетные данные другому лицу либо допускает использование своей учетной записи в обход установленного порядка доступа.

▪️Игнорирование инцидентов и требований безопасности.

Под риск может подпадать и бездействие сотрудника, если на него возложены обязанности по категорированию объекта КИИ, защите системы, реагированию на инциденты, ограничению доступа, сохранению следов воздействия или устранению уязвимостей, но эти обязанности не исполняются.

2. Какое предусмотрено наказание

За создание, распространение или использование вредоносных программ, предназначенных для воздействия на КИИ, предусмотрено до 5 лет лишения свободы; за неправомерный доступ к информации в КИИ и за нарушение правил эксплуатации объектов КИИ либо правил доступа к ним – до 6 лет; за те же деяния, совершенные группой лиц либо с использованием служебного положения, – до 8 лет; при тяжких последствиях – до 10 лет.

3. Когда возможно освобождение от ответственности

Поправками в ст. 274.1 УК РФ введено примечание, предусматривающее специальное основание освобождения от уголовной ответственности по ч. 3 этой статьи, то есть за нарушение правил эксплуатации систем и сетей КИИ либо правил доступа к ним.

Освобождение возможно, если лицо активно способствовало раскрытию или расследованию преступления, в том числе приняло меры к сохранению следов неправомерного воздействия на КИИ, и если в его действиях нет иного состава преступления.

Как себя обезопасить

{...}

Ознакомиться подробнее или задать вопрос можно в нашем Телеграм-канале.