Можно ли получить срок за случайное киберпреступление

По данным RTM Group, только в 2021 году в России было зарегистрировано более 500 тысяч киберпреступлений. Большая часть из них связана с намеренными действиями злоумышленников, нацеленными на хищение денег или причинение вреда информационным системам. А вот около 10 % из них произошли случайно. Расскажем, грозит ли за это ответственность по закону.

Во многих странах создано законодательство, регулирующее несанкционированное воздействие на информационные системы. В России к этой области относятся три статьи Уголовного кодекса: № 272 (неправомерный доступ к компьютерной информации), № 273 (создание, использование и распространение вредоносных компьютерных программ), № 274 (нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей). Несмотря на то что каждая из них накладывает большое количество ограничений на работу с информационными технологиями, далеко не все специалисты соблюдают предписания — и совершенно напрасно.

С точки зрения закона совершенно неважно, осуществляет ли специалист в области безопасности несанкционированную проверку системы на уязвимость или какой-то злоумышленник намеренно похищает информацию о персональных данных с целью продажи — согласно законодательству и этике подобные действия являются нарушением, за которым должно последовать обязательное наказание.

Где и как совершаются нарушения закона в области защиты информации по незнанию? Такие инциденты можно разделить на три большие группы. Первая из них связана с КИИ (критической информационной инфраструктурой), вторая — с обучением на специальных курсах по защите информации, третья — с несанкционированным тестированием ресурсов на уязвимости. Разберём их все по порядку.

Защита КИИ, к которой в настоящее время отнесено более 50 тысяч промышленных, транспортных и финансовых предприятий России, регулируется законом 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

В последнее время всё чаще встречаются случаи обвинения сотрудников организаций КИИ по статье 274.1 УК РФ, где описывается неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ РФ, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на КИИ РФ, или иных вредоносных компьютерных программ.

Ещё два года назад уголовные дела по этой статье встречались весьма редко. В прошлом году они стали появляться, а в текущем их набралось уже несколько десятков. Мы ожидаем, что к концу 2022 г. появятся сотни дел по данной статье. Объединяет их то, что большинство инцидентов и нарушений совершается в этой сфере по незнанию, прежде всего сотрудниками организаций КИИ, а также подрядчиками, работающими с ними. Однако внимательными стоит быть всем гражданам, поскольку неосторожные действия могут повлечь за собой не только административный штраф, но и уголовное преследование.

Вот список нарушений, которые уже стали причиной возбуждения уголовного дела:

Во избежание возможного уголовного преследования по незнанию специалисты RTM Group рекомендуют сделать следующее:

Для подготовки специалистов по защите информации сегодня существуют образовательные программы, дающие представление о защите вычислительных сетей, криптографии, устройствах технической защиты информации, криминалистике и законодательстве в данной сфере.

Но есть некоторые аспекты, которые не может охватить традиционное обучение. Подобные недостатки могут заметно повлиять на развитие специалиста. К примеру, в их число входит отсутствие практики. Академические программы не могут вместить в себя равноценное количество практических часов для выращивания всесторонне развитых технических специалистов по информационной безопасности, и студенты, желая совершенствовать свои навыки (например, в сфере тестирования на проникновение), могут по незнанию совершить неправомерные действия.

Вот один из примеров. Студент решил проанализировать радиочастоты, которые используют силовые структуры города, при помощи купленного для исследований приёмника RTL-SDR. Он обнаружил недостаток и хотел сообщить о нём правоохранительным органам, но вместо награды чуть не получил тюремный срок, отделавшись в итоге штрафом. Произошло это потому, что в процессе такого исследования он оказал воздействие на радиосеть, где сотрудники обменивались информацией.

Для того чтобы не возникало подобных проблем, студентам ещё на самых ранних этапах обучения в сфере ИБ необходимо объяснять важность соблюдения закона, рассказывать о тех объектах, которые входят в критическую инфраструктуру. Также важно подробно говорить обучающимся о том, что перед выполнением работ по тестированию на проникновение нужно в обязательном порядке заключать договор с организацией, чьи ресурсы исследуются. Также создателям курсов стоит учитывать различные технологии, ведь в российской правовой системе, например, присутствует множество пробелов в отношении дипфейков.

Кроме того, для самостоятельного развития студенты могут обращаться за помощью в изучении конкретных инструментов и получении навыков к различным образовательным средам для энтузиастов. Сейчас их — великое множество. Это и различные киберполигоны (The Standoff 365, Pentestit и т. д.), и отдельные CTF-платформы с образовательным контентом (tryhackme.com, hackthebox.com), и открытые опенсорсные проекты наподобие Damn Vulnerable Android Application.

В тематических сообществах студенты могут не только развивать практические навыки, но и постоянно получать сведения об актуальных угрозах и инструментах для защиты. В таких «тусовках», как правило, присутствуют менторы, которые помогают разобраться с интересующей темой, оказывают необходимую поддержку молодым специалистам.

Бывают случаи, когда не только студенты, но и действующие сотрудники каких-либо компаний или независимые специалисты по своей инициативе проводят сканирование ресурса какой-либо крупной компании с различными целями (например, для выявления уязвимости и получения вознаграждения). Вот практический пример одного из таких случаев. Специалист для оттачивания практических навыков решил проверить на защищённость сайт государственного учреждения. Не будучи досконально знакомым с принципами защиты и некоторыми аспектами законодательства, он был весьма удивлён, когда через пять месяцев после проведения тестирования к нему пришли сотрудники правоохранительных органов, предъявившие ему обвинение по ч. 1 ст. 273 УК РФ. Несмотря на то что он не имел желания нанести вред (и не причинил его), по результатам разбирательств он получил штраф. Однако не всегда можно так легко отделаться. Нередко вместо штрафа за подобную деятельность (особенно если при этом было нарушено функционирование ресурса) специалисты получают до четырёх лет лишения свободы.

Решать данную проблему и предотвращать её возникновение тоже возможно через самообразование, участие в профильных сообществах, а также за счёт внедрения в специализированных компаниях обучающих программ и регулярного инструктажа среди сотрудников.

Обвинений по делам, которые связаны со случайными инцидентами, становится всё больше. Несмотря на то что тема информационной безопасности с каждым днём становится всё популярнее и появляется всё больше специалистов с особыми навыками, тонкости законодательства изучают немногие. Это особенно странно с учётом того, что такие знания абсолютно необходимы каждому профессионалу, работающему в данной сфере, и без них нельзя начинать любую практическую деятельность.

Для того чтобы свести к минимуму инциденты происходящие по незнанию, случайно, необходимо проводить обучение законодательству в сообществах и в рабочей среде на самых ранних этапах. Нужно приглашать специалистов, владеющих тонкостями законов, которые смогут не только рассказать о них, но также дать практические примеры. Важно понимать, что инцидент может произойти с каждым, а доказать впоследствии свою невиновность и непричастность может быть трудно.