четверг, 7 июля 2022 г.

Технический пост




 В связи с жизненными обстоятельствами публикации в канале "Клуб любителей КИИ", блог "Рупор бумажной безопасности" и телеграм-канале прекращаются.


Спасибо всем моим читателям и подписчикам, особенно за комментарии и предложения.


Опубликованные материалы удалятся не будут. При их использовании в работе необходимо учитывать, что законодательство страны меняется и предложенные действия могут не соответствовать актуальным требованиям.


Здоровья вам и благополучия, берегите себя.

среда, 6 июля 2022 г.

ГосСОПКА уже на пороге.

 


5 июля прошло второе чтение законопроекта. Появилась новая редакция, включая и взаимодействие с ГосСОПКА. 6 июля принято Госдумой в третьем чтении. Остался Совет Федерации и Президент.

среда, 29 июня 2022 г.

Связисты из Твери по ст.274.1 УК РФ

 



Тверские связисты смогли удивить в очередном "конвеерном" уголовном деле по ст.274.1 УК РФ.

Поднять две уголовные статья за 42 800 рублей. А какие споров о том, кто кого втянул в преступную деятельность... 

понедельник, 20 июня 2022 г.

Совкомбанк дошел Верховного суда

 


  Как и прогнозировалось, история получила продолжение. И теперь мы имеем уникальный случай сразу по двум причинам:

1. Первый и единственный договор за вред КИИ в банковской сфере.

2. Первый приговор за вред КИИ дошедший до Верховного суда, правда пока только республиканского. Причем обжалует пострадавшая сторона - банк. А не государственное обвинение или преступник.

Ждем продолжения от банкиров, пойдут ли они в Верховный суд РФ?


Ранее  - https://valerykomarov.blogspot.com/2021/09/blog-post_27.html

и https://valerykomarov.blogspot.com/2022/06/2741.html

среда, 15 июня 2022 г.

Вот и у банкиров прецедент привлечения работника по ст.274.1 УК РФ.

 



     Ранее я уже касался крайне запутанной истории с компьютерным преступлением в Совкомбанке - https://valerykomarov.blogspot.com/2021/09/blog-post_27.html. К сожалению, никаких упоминаний на реагирование ФСТЭК или НКЦКИ о факту компьютерного инцидента с объектом КИИ не появилось. Вопросы 2021 года остались без ответа... 

      Это просто эпично: "В день увольнения Т. с работы, ему закрыли доступ к рабочему чату, при этом оставив доступ к клиентской базе банка. Далее, в течение нескольких недель, Т. пытался довести до сведения службы безопасности банка, что ему доступ к клиентской базе банка открыт и просил закрыть его. На его просьбы сотрудники банка не среагировали, предлагая ему обратиться в разные службы банка. Также, он писал письма в банк по данному вопросу, звонил на горячую линию банка, но положительного для себя результата не добился."

   А у банка все хорошо, внутренняя проверка показала причину - техническая ошибка. Нет виноватых.  И вообще все действия службы безопасности начались только после размещения объявления о продаже базы клиентов, а не по факту неправомерного скачивания на неизвестный компьютер.

    Более того - "После проведения экспертизы, в июле 2020 года ноутбук «Самсунг» ему был передан на ответственное хранение, до принятия судом окончательного решения в отношении него. Он проверил ноутбук и обнаружил на нем находящуюся там ранее похищенную им клиентскую базу ПАО «Совкомбанк», выгруженную им из реестра Банка."

   Интересно почему в материалах дела появились показания работника банка, ответственного за взаимодействие с правоохранительными органами,  - "Т.. он никогда не просил, чтобы он выставлял объявление о продаже базы ПАО «Совкомбанк», так как указанные действия противоречат политике безопасности банка и являются незаконными."? 

    Как думаете, получила ли эта история продолжение или банк удовлетворился вынесенным обвинительным приговором по ст.274.1 УК РФ?

P.S. Кто-нибудь понял из материалов приговора в чем заключался вред КИИ, нанесенный неправомерным доступом преступником?


среда, 8 июня 2022 г.

Суд разобрался в порядке категорирования ОКИИ

 


   Свершилось. Мы дождались ситуации, когда обвиняемый не согласился с тем, что он своими действиями нанес вред КИИ. Настаивает, что совершил обычное компьютерное преступление по ст.272 УК РФ, а не по тяжкой ст.274.1 УК РФ. Пришлось областному суду разбираться в вопросах категорирования объектов КИИ.

  Данное дело будет иметь очень далеко идущие последствия для всей страны. Остается только пожелать стороне защиты продолжать обжалование и дойти до Верховного суда РФ, больно уж моменты принципиальные  решаются.

понедельник, 6 июня 2022 г.

Пределы действия нормы, предусмотренной ст. 272 УК РФ

 


  Довольно неожиданно, что авторами выступили представители научной школы МВД России.

   На мой взгляд, такой подход к квалификации преступления более важен по другой статье – за вред КИИ (Ст.274.1 УК РФ). Поскольку действия преступников, при внесение сведений о «левой» вакцинации, простановки «галочек» в информационных системах операторов связи и т.д, по своей сути ничем не отличаются при разных способах обработки информации. Что раньше медработники вносили в бумажные медкарты недействительные отметки о прохождении прививок, что сейчас ставят такие же отметки в электронном виде. Просто изменилась форма обработки информации, как пишут авторы статьи - «Однако получается, что признание действий человека преступными и их квалификация зависят от того, в какой форме - электронной или бумажной - существует информация, чего быть не должно». Собственно, на примере массового привлечения медработников за «левую» вакцинацию мы и видим существенное разнообразие применяемых статей УК РФ. По работникам операторов связи ситуация аналогичная.

   Специально уточняю, обсуждаемая позиция не призывает к освобождению от уголовной ответственности за совершенные преступления, а касается только исключения избыточной квалификации таких преступлений как компьютерных. Дополнительно это позволит снизить негативное отношение работников на внедрение новых цифровых технологий в рабочие процессы и будет способствовать «цифровизации» народного хозяйства.

   Например, работники судебной системы предлагают «возможность освобождения лиц, которые не имеют достаточного опыта и знаний в сфере компьютерных технологий, от последствий допускаемых ошибок», что позволит вовлечь больше лиц в электронный документооборот. (Бикмиев Р.Г., Бурганов Р.С. Популяризация и стимулирование информатизации судебного делопроизводства // Администратор суда. 2022. N 1. С. 16 - 20.)

среда, 1 июня 2022 г.

Сфера безопасности дорожного движения это сфера транспорта? Видимо нет.

 


Получается, что ФИС ГИБДД-М это не объект КИИ, а ГИБДД не субъект КИИ. Явно прописана ГИС и ИСПДн, но не КИИ.

«ФИС ГИБДД-М состоит из подсистем: «транспортные средства», «водительские удостоверения», «получение и предоставление сведений» и «административные правонарушения» со сведениями о совершенных административных правонарушениях, административных наказаниях и лицах, совершивших административные правонарушения; ФИС ГИБДД-М является информационной системой класса защищенности К1, обеспечивающий 2 уровень защищенности обрабатываемых персональных данных».

четверг, 26 мая 2022 г.

Просто беда с этой ГосСОПКА

 





   История с законопроектом по изменению 152-ФЗ  https://valerykomarov.blogspot.com/2022/04/blog-post_26.html продолжается. Сначала прошло 19.05.22 заседание комитета комитета ГД, на котором заслушали представителей общественности и 24.05.22 законопроект был принят ГосДумой в первом чтении.

среда, 25 мая 2022 г.

Не сменил во время пароль - получи ст.274 УК РФ.

 


   Статья-прародительница для субъектов КИИ, то есть ст.274 УК РФ, начинает все активнее применятся. Конечно, до молодой звезду УК РФ - ст.274.1 УК РФ, ей еще далеко. Но, если сравнить частоту применения ч.1 ст.274 и ч.3 ст.274.1 УК РФ, то позиции примерно равны.