Минэк предложил убрать из УК наказание для виновников сбоев важных сайтов
Минэкономразвития выступило с инициативой о декриминализации действий, приведших к причинению незначительного ущерба критической информационной инфраструктуре, сообщили РБК в министерстве.
В соответствии с действующей редакцией ст. 274.1 Уголовного кодекса, в уголовном порядке карается причинение любого вреда критической информационной инфраструктуре, происшедшее в результате неправомерного доступа к информации, а также нарушения правил эксплуатации средств хранения, обработки и передачи данных о составе критической информационной инфраструктуре или правил доступа.
В Минэкономразвития считают, что такая формулировка создает угрозу привлечения к уголовной ответственности специалистов, ответственных за обслуживание объектов КИИ. Фигурантом уголовного дела может стать, например, администратор, обеспечивающий работу государственного органа, банка или больницы, либо сотрудник компании, которой принадлежит сервер, где размещена информация сайта. По формальным основаниям для привлечения к уголовной ответственности может оказаться достаточно кратковременного сбоя в работе сервера или неудачно проведенного обновления программного обеспечения, в результате которого сайт перестал открываться, даже при отсутствии общественно опасных последствий.
После получения обращения от ИТ-компаний Минэкономразвития совместно с фондом «Сколково» разработало поправки, уточняющие условия ответственности за нарушение правил эксплуатации объектов КИИ. В проекте закона формулировку «причинение вреда КИИ» предлагается заменить на «причинение крупного ущерба (более 1 млн руб.)».
«Принятие законопроекта снизит риски уголовного преследования специалистов, занятых обслуживанием объектов КИИ, по формальным основаниям и позволит избежать случаев, когда действия, не имеющие реальной общественной опасности, будут квалифицироваться как преступления», — сообщили РБК в Минэкономразвития.
По словам директора направления «Нормативное регулирование» АНО «Цифровая экономика» Дмитрия Тер-Степанова, рабочая группа одобрила документ и в ближайшее время он будет направлен на согласование с другими ведомствами.
В существующей редакции статьи 274.1 УК РФ уголовая ответственность может наступить при любом нарушении правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ всех категорий значимости, любой ИС, ИТС, АСУ или сети электросвязи, объясняет Тер-Степанов. Без ограничения объектов действительно значимыми КИИ под уголовным преследованием может оказаться неоправданно широкий круг ИТ специалистов. «Это тормозит развитие технологий по той причине, что люди боятся работать с подобными объектами. Для исключения подобных случаев предложено было ввести дополнительные условия наступления ответственности. В результате, только действительно значимые КИИ будут попадать под контроль правоохранительных органов», — добавляет он.
Дела о воздействии на критическую информационную инфраструктуру, согласно УПК, подследственны ФСБ. По данным Судебного департамента при Верховном суде, за весь 2019 год по ст. 274.1 УК РФ были осуждены четыре человека, всем им вменялось преступление, совершенное в составе группы или с использованием служебного положения (ч. 4 ст. 274.1 УК). В 2018 году российские суды не вынесли приговоров по этой статье УК ни одному человеку.
Все приговоры о воздействии на критическую информационную инфраструктуру были вынесены в Приморском крае, о них сообщала прокуратура региона. В одном случае менеджер отдела продаж одной из компаний связи незаконно передала персональные данные абонентов своему знакомому, она получила три года условно. В другом деле речь шла о троих хакерах, которые с помощью вредоносной программы получили доступ к сайту одной из компаний-застройщиков, повредили его и потребовали деньги за восстановление. Они возместили ущерб в размере 650 тыс. руб. и также получили условные сроки.
Еще одно дело по ст. 274.1 УК было прекращено судом в Петропавловске-Камчатском. В 2018 году сотрудник института вулканологии и сейсмологии РАН, не желая блокировки мессенджера Telegram, устроил две DDoS-атаки на ресурсы Роскомнадзора — официальный сайт ведомства и портал, созданный для обмена информации с операторами связи в рамках работы по блокировке сайтов. Дело было прекращено из-за раскаяния подсудимого.
Предлагаемые изменения в ч. 3 ст. 274.1 УК РФ позволят снизить правовую неопределенность и исключить расширительное толкование понятия «причинение вреда», считает представитель МТС. «Сейчас действующие нормы применимы не только к нарушителям за неправомерное воздействие на КИИ, но и предусматривают чрезмерное наказание за нарушение правил эксплуатации объектов КИИ», — объясняет он.
Представители «МегаФона» и «ВымпелКома» (бренд «Билайн») воздержались от комментариев. Представитель «Ростелекома» не ответил на момент публикации.
Источник РБК в одном из операторов «четверки» говорит, что и текущая, и новая формулировки статьи УК являются оценочными. «Не очень понятно, как рассчитывать сумму ущерба, как будет рассматриваться покушение на совершение преступления. Если попытка доступа к информации была, но сработали антивирусы, как считать — мог бы ущерб превысить миллион?» — говорит собеседник РБК. По его словам, в ходе обсуждения данного законопроекта озвучивались данные, согласно которым за совершение преступлений, предусмотренных статьей 274.1 УК, в 2019 году были осуждены четыре лица.