четверг, 23 сентября 2021 г.

Любопытство до уголовного наказания довело. Пентестерам намек.


 

  Обсуждение заметки на Хабре о "проникновении в системы видеонаблюдения РЖД" уже активно провели в начале года:

Пентестерам посвящается. Часть 1 .https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/pentesteram-posviascaetsia-chast-1-5fff2a2a9bebf134000e35be

Пентестерам посвящается. Часть 2 .https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/pentesteram-posviascaetsia-chast-2-6000a9114e913f175819550b

Пентестерам посвящается. Часть 3. https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/pentesteram-posviascaetsia-chast-3-6001f8c7f8011c4a01212c35

  И многими была озвучена позиция, что ничего криминального не произошло со стороны кибер-активиста (хакера). Однако в подобных случаях у российских судов другой взгляд. Замечу, что по ситуации с  РЖД возможна квалификация и по ст.274.1 УК РФ, а не ст.273 УК РФ как описано ниже.

Ст.273 УК РФ вполне рабочая - https://valerykomarov.blogspot.com/2021/09/273.html

вторник, 21 сентября 2021 г.

Думай какие программы используешь! Ст. 273 УК РФ работает.

 


     Очень часто при использовании общедоступных программ, свободно скачиваемых из Интернета, не учитывается риск привлечения к уголовной ответственности за компьютерные преступления. Сделал небольшую подборку свежих приговоров судов, наглядно демонстрирующих подобные дела. Замечу, что в двух случаях атака проводилась на госорганизации, но обвинений по ст.274.1 УК РФ не выдвинуто. Хотя в примере № 3 явно просматривается субъект КИИ в сфере связи, да еще и государственный.

среда, 15 сентября 2021 г.

Анализ ст.274.1 УК РФ от юристов РГГУ

   


    В копилку профильных публикаций юридической направленности по ст.274.1 УК РФ. Статья из журнала "Российский следователь", 2021, N 6.

  Довольно жесткий вывод сделан для авторов 194-ФЗ:

   "Составы части второй и третьей ст. 274.1 УК РФ не могут восприниматься как квалифицированные составы по отношению к основному составу ст. 274.1 УК РФ, поскольку в процессе конструирования законодатель соединил в рамках одной ст. 274.1 УК РФ в трех ее первых частях фактически три разные состава, что не только запрещено правилами законодательной техники, но и нецелесообразно в данном случае, исходя из их содержательного наполнения. Логичнее было бы сформулировать ответственность за посягательство на критическую информационную инфраструктуру Российской Федерации в качестве квалифицирующих признаков к уже имеющимся статьям 272, 273, 274 главы 28 УК РФ, а не в качестве криминообразующего признака для конструирования спецсоставов. Правоприменение этой нормы окажется также затруднено и не только ее бланкетной структурой (само понятие "критическая информационная инфраструктура" дефинировано в отдельном федеральном законе <11>), но и тем, что, введя категорийность таких объектов, Федеральный закон N 187-ФЗ предоставил возможность органам государственной власти субъектов Российской Федерации (РФ) исключать из перечня эти объекты критической информационной инфраструктуры и менять их категории по своему мотивированному решению."

вторник, 14 сентября 2021 г.

Изменения в 282 приказ ФСБ

 


  Стабильность подзаконных актов к 187-ФЗ по линии ФСБ закончилась. Опубликован проект изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСБ России от 19 июня 2019 г. № 282.

четверг, 2 сентября 2021 г.

Как "уходит" переписка в мессенджерах

 

  Свежий и очень подробный приговор суда за "пробив" абонента и перехват переписки в мессенджерах. Описан механизм преступных деяний и размер вознаграждения каждого участника. Ст.274.1 УК РФ почему то не вменили, видимо МВД не захотело по "чужой" статье работать, а ведь один из преступников - работник оператора связи. Можно отметить, что один из преступников получил реальный срок, а не условный.
   И очень интересное расследование по мотивам этого приговора провели журналисты, достоверность изложенного в заметке уже на их совести.

понедельник, 30 августа 2021 г.

Преступный путь не задался с первого шага.



   Поучительная и забавная новость от следственного комитета. Ребятам очень сильно повезло, что к ним не применили ст.274.1 УК РФ, которую ФСБ начала массово применять за "телефонные пробивы абонентов". И опять же, никакой информации по заказчикам таких пробивов. В судебных решениях традиционно указывается "работник оператора связи за вознаграждение переслал в телеграм  неустановленному лицу". 

четверг, 26 августа 2021 г.

Защищать ЦОД как ГИС. Инициатива ФСТЭК по изменению 149-ФЗ. Проект НПА.



  ФСТЭК разместила для общественного обсуждения законопроект по внесению изменений в ст.16 149-ФЗ. Замечания и предложения можем подать до 2 сентября 2021 года. Что же ФСТЭК предлагает "починить в текущей редакции 149-ФЗ и с какой целью?

понедельник, 23 августа 2021 г.

Инициатива безопасника должна быть разумной!


   На прошедшей неделе история с  возбуждением уголовного дела по ст.274.1 УК РФ по действиям работника оператора связи (интернет-провайдер) за сканирование маршрутизаторов клиентов, про которое я писал еще в начале года - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/sudebnaia-praktika-po-st-2741-uk-rf-itogi-za-1-kvartal-2021-goda-609d8fc0d4b3a241538eccc8, активно проявилась в СМИ. Сразу несколько заметок, опубликованных со стороны защиты: https://www.rbc.ru/rbcfreenews/611ced8c9a794716b9238d2a и https://www.rbc.ru/technology_and_media/17/08/2021/611a95059a7947e9bf954a8f?from=from_main_1
  Характерными особенностями подобных дел являются: сканирование в служебных целях (активность работника, а не гражданина) и использование общедоступных программ, свободно скачанных с Интернет.
  Вмешиваться в текущее следственное дело мы не будем, дабы не навредить интересам участников процесса и государства. А рассмотрим уже вынесенный приговор суда, в котором присутствуют выше указанные характерные моменты.

понедельник, 16 августа 2021 г.

Организация аттестационных испытаний ФСТЭК. Итог.

  


 Со второй попытки ФСТЭК утвердила Приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" (Зарегистрирован 10.08.2021 № 64589). Странно, что на сайте ФСТЭК приказ не опубликован  да настоящего момента.