вторник, 6 ноября 2018 г.

В тюрьму за чашку кофе? Для пользователя КИИ легко


        При обсуждении уголовной ответственности по Ст. 274.1 УК РФ стандартно упоминается риск привлечения должностных лиц, ответственных за эксплуатацию объектов КИИ (администраторы, ИТ-специалисты и подобные). Я так же разбирал подобные риски для этой группы риска. Но, если присмотреться внимательно к тексту п.3 Ст.274.1 УК РФ, то можно выделить еще одну группу риска - пользователи определенных информационных систем (ГИС и ИСПДн), отнесенных к объектам КИИ.

      УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации

     "Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами. Информация, содержащаяся в государственных информационных системах, является официальной. Государственные органы, определенные в соответствии с нормативным правовым актом, регламентирующим функционирование государственной информационной системы, обязаны обеспечить достоверность и актуальность информации, содержащейся в данной информационной системе, доступ к указанной информации в случаях и в порядке, предусмотренных законодательством, а также защиту указанной информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий." (149-ФЗ)
      "Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям." (149-ФЗ)
        Аналогичная ситуация с ИСПДн.
Генпрокуратура считает, что "Под охраняемой законом понимается информация, для которой законом установлен специальный режим ее правовой защиты (например, государственная, служебная и коммерческая тайна, персональные данные и т.д.).". Но это более редкий случай для объектов КИИ, хотя в промышленности может и обрабатываться в объектах КИИ информация, отнесенная к коммерческой тайне (и гостайна). В данной заметке рассмотрим наиболее широко распространенный случай - федеральная или региональная медицинская ГИС, с несколькими тысячами пользователей (врачи, администраторы регистратур) на местах (больницы, поликлиники, экипажи скорой помощи). Для работы в такой ГИС используются типовые автоматизированные рабочие места - компьютеры, моноблоки, специализированные терминалы, планшеты (далее -АРМ).
        С точки зрения ГИС и 17 приказа, такие АРМ однозначно входят в состав ГИС. При согласовании моделей угроз по ПП 676 ФСТЭК требует учитывать их. Они включаются в Техпаспорта ГИС, ФСБ и ФСТЭК требует их аттестацию. При проведении проверок на местах, привлекает организации к административной ответственности по Ст.13.12 КоАП РФ.
И от этого не спасает тот факт, что проверяемая организация не является оператором или владельцем ГИС. Достаточно пользоваться АРМ, подключенным к ГИС.
       Медицинская ГИС будет однозначна отнесена к объектам КИИ, как ИС, функционирующая в сфере здравоохранения. Категория значимости для уголовной ответственности роли не играет.
       С точки зрения КИИ все то же самое. АРМ - средство обработки информации, подлежащие защите и входящее в состав объекта КИИ.
      Смотрим 239 Приказ ФСТЭК:
17. В значимых объектах объектами, подлежащими защите от угроз безопасности информации (объектами защиты), являются:
а) в информационных системах:
информация, обрабатываемая в информационной системе;
программно-аппаратные средства (в том числе машинные носители информации, автоматизированные рабочие места, серверы, телекоммуникационное оборудование, линии связи, средства обработки буквенно-цифровой, графической, видео- и речевой информации);
программные средства (в том числе микропрограммное, общесистемное, прикладное программное обеспечение);
средства защиты информации;
архитектура и конфигурация информационной системы;
       Получается "взрывная смесь"  ГИС и КИИ, пользователь обрабатывает охраняемую компьютерную информацию, содержащуюся в КИИ. И при этом, он не работник субъекта КИИ. А так же, возможно два варианта:
1. АРМ принадлежит самой организации. Непонятен его статус, принадлежит то он не субъекту КИИ и просто используется для подключения к объекту КИИ, принадлежащему федеральному/региональному центру - субъекту КИИ.
2. АРМ выдан организации и принадлежит федеральному/региональному центру - субъекту КИИ. Самый простой случай для разбора.
       Спросите, а причем здесь чашечка кофе?



      Не причем, пока не опрокинете ее на АРМ.
      Если посмотреть на аналогичную статью в УК РФ (она же прародительница для обсуждаемой), то увидим ключевое отличие от 274.1:

УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб

      Генпрокуратура считает по 274, что "Объективная сторона преступления состоит в нарушении правил хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, если такое нарушение повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.

Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь, а также доказано, что наступившие последствия являются результатом нарушения правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными ст. 272 и 273 УК РФ.

Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах.

Субъективная сторона состава данного преступления характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа, предусмотренное ч. 1 ст. 274 УК РФ, может совершаться как умышленно (при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа), так и по неосторожности (например, программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы)."

   Отметим два важных момента для пользователя КИИ:
1. В Ст.274.1 УК РФ нет никаких уточнений про "уничтожение, блокирование, модификацию либо копирование компьютерной информации".
2. Прямо приведен пример невыполнения политик безопасности пользователем. Воспользовался личной флешкой на рабочем АРМ, при запрете в соответствующей политике и вирус заблокировал доступ к нему до уплаты выкупа? Здравствуйте, гражданин следователь! Открыли фишинговое письмо на своем рабочем АРМ и вирус-шифровальщик "зашифровал всю информацию на серверах поликлиники"? Но эти события хотя бы связаны с нарушениями требований ИБ, а вот  момент №1 совсем печален:

     Практически все производители моноблоков, ПЭВМ и т.д указывают запрет на попадание жидкостей при эксплуатации технических средств, на базе которых и создан АРМ:
https://docplayer.ru/27595360-Rukovodstvo-po-ustanovke-i-ekspluatacii-monobloka.html
"Избегайте попадания жидкости на дисплей, так как это может привести к повреждению
внутренних компонентов."
http://img.mvideo.ru/ins/30013711.pdf
"Не допускайте попадания любых предметов внутрь корпуса и любых жидкостей внутрь и на поверхность моноблока."
Инструкция моноблокa Acer Aspire Z1-623
"Не проливайте воду или жидкости на компьютер."
Инструкция по эксплуатации моноблока Lenovo B300A
"Не ставьте емкости с напитками на компьютер и подключенные устройства или
рядом с ними. Если вы прольете жидкость на компьютер или подключенное
устройство, то это может привести к короткому замыканию или к другому
повреждению"
      Так же, в инструкциях по охране труда в организациях, часто включается пункт о том, что употребление пищи и напитков разрешено только в специально отведенных местах.

      Итог: для привлечения к уголовной ответственности достаточно, что бы по вине пользователя вышла из строя хотя бы клавиатура или "мышь" АРМ, вписанного в аттестат ГИС, отнесенной к объектам КИИ.
      Клавиатура входит в состав АРМ и имеет балансовую стоимость, а АРМ входит в состав объекта КИИ. То есть, пользователь нарушил инструкцию по эксплуатации от производителя и нанес вред КИИ в размере стоимости клавиатуру.
      Для тех, кто считает, что это выходит за рамки разумного и никогда не случится, напомню о существовании в УК РФ и других "туманно" сформулированных статей, практику применения которых вынужден комментировать Президент России:
"Пресс-секретарь президента России Дмитрий Песков призвал не обобщать и не «стричь под одну гребенку» уголовные дела за публикации в социальных сетях, подчеркнув, что каждый конкретный случай нужно рассматривать отдельно.
В Кремле признали, что порой бывают случаи «за гранью разумного». Песков напомнил позицию Владимира Путина, во время «Прямой линии» призвавшего руководствоваться здравым смыслом в каждом конкретном деле."
      Остается надеяться на здравый смысл компетентных органов и отсутствие показателей по применению данной статьи УК РФ.

      Для исключения подобных проблем необходимо, что бы Ст.274.1 была сформулирована в таком варианте:

      УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, повлекшее уничтожение, блокирование, модификацию либо копирование охраняемой компьютерной информации, причинившее крупный ущерб  или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к значимым объектам критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение крупный ущерб критической информационной инфраструктуре Российской Федерации

 * Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

11 комментариев:

  1. если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации...

    Хотелось бы ясности, все-таки КИИ РФ это очень ёмкое определение, и здесь не сказано, что уголовная ответственность наступает при причинение вреда...или ущерба??? КИИ субъекта КИИ. Т.е., если есть вред для субъекта КИИ, то уголовная ответственность не наступает.
    Я так понимаю. Несколько раз пытался выяснить у экспертов их понимание этой статьи, но никто на смог чётко объяснить. Скорее всего точки на Ё поставит как-либо суд если будет прецедент.

    ОтветитьУдалить
    Ответы
    1. Ответ кроется в определении критической информационной инфраструктуре Российской Федерации, указанному в 187-ФЗ. Если по простому, то все объекты КИИ всех субъектов КИИ и составляют КИИ РФ. Следовательно, нанесение вреда субъекту КИИ путем вывода из строя его объекта КИИ будет причинением вреда КИИ РФ. А дальше, в соответствии с УК в отношении субъекта КИИ (его руководителя или законного представителя) возбуждается уголовное дело. Если руководитель не хочет сидеть сам, то он может попробовать сработать на опережение, и инициировать возбуждение уголовного дела в отношении пользователя/админа системы по статьям, указанным автором.

      Удалить
    2. Указ Президента РФ от 05.12.2016 N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации"

      з) информационная инфраструктура Российской Федерации (далее - информационная инфраструктура) - совокупность объектов информатизации, информационных систем, сайтов в сети "Интернет" и сетей связи, расположенных на территории Российской Федерации, а также на территориях, находящихся под юрисдикцией Российской Федерации или используемых на основании международных договоров Российской Федерации.

      или ещё
      "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации" (утв. Президентом РФ 03.02.2012 N 803)

      в) критическая информационная инфраструктура Российской Федерации (далее - критическая информационная инфраструктура) - совокупность автоматизированных систем управления КВО и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка, нарушение (или прекращение) функционирования которых может стать причиной наступления тяжких последствий;

      Вот это я понимаю определение, но судя по этим определениям, УК конкретно к субъекту КИИ сложновато будет применить

      Удалить
    3. УК РФ. Статья 274.1 Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации

      1. Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации, -

      наказываются принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет,

      2. Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации, -

      наказывается принудительными работами на срок до пяти лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет и с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет.

      3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, -

      наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

      4. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения, -

      наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

      5. Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия, -

      наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.".

      Удалить
    4. Этот комментарий был удален автором.

      Удалить
    5. Пункт 3 в равной степени распространяется как на внешних нарушителей, так и на внутренних (читай субъекта КИИ, в лице его работников от директора до технички).

      Удалить
    6. Вопрос задан правильно, так как в 187-ФЗ дается определение просто "КИИ", а не "КИИ РФ". А терминология через КВО устаревшая и не бьется с 187-ФЗ. Ответ узнаем только через суды, причем они могут дать совершенно различны прецеденты, пока ВС практику не обобщит и не выдаст рекомендации

      Удалить
    7. Очень забавную линию защиты можно выстроить через 193-ФЗ. Если сопоставить требования по гостайне и по уголовной ответственности. Раз на уровне субъекта ничего не засекречено, то у него явно не "КИИ РФ", а просто объект КИИ. И не подлежит он уголовной ответственности по 274.1.

      Удалить
  2. для ГИС это не важно, они созданы на деньги государства.

    ОтветитьУдалить
  3. Не так, что бы "легко". Статьи УК РФ, указанные автором, действуют, если не ошибаюсь, уже более 15 лет. Но широкой практики применения не получили. И тому есть ряд причин: 1) Нужно установить прямую связь между нарушением и наступлением вреда, на что автор указал. Но для этого необходимо провести как минимум компьютерную экспертизу с целью сбора доказательств. И тут натыкаемся на 2 больших айсберга: а) наличие корректно развернутой и настроенной системы сбора информации о деятельности пользователей и событиях системы (логирование, применение DLP и т.п.); б) проведение компьютерной экспертизы с целью сбора доказательств, а это уже область форензики. Как правило, в организациях по пункту а) ничего не сделано, ибо сложно и дорого. Именно поэтому в 239 приказ ФСТЭК и включили в качестве требований IDS, SIEM, DLP. А с пунктом б) еще хуже - область новая, грамотных специалистов по пальцам пересчитать, а если найдете, то дешево это не будет. 2) Если привлекать соответствующие органы для проведения следственных мероприятий по факту нанесения вреда пользователем/админом, то натыкаемся на изъятие технических средств на весь период следственных действий! Ответьте себе: "Вы готовы лишиться сервера/АРМ на неопределенный срок?". В отношении АСУ ТП вообще речи об изъятии идти не может. При этом надо учитывать, что результат не гарантирован. В органах с форензикой тоже пока не очень... Вот и получается, что возможность у работодателя есть, но реализовать ее крайне сложно. Хотя в случае реального инцидента на объекте КИИ с существенным ущербом, указанные статьи УК - это хороший инструмент для владельца объекта КИИ "перевести стрелки" на пользователя/админа.

    ОтветитьУдалить
    Ответы
    1. Не вижу проблем с проведением экспертизы моноблока, пришедшего в негодность из-за попадания жидкостей.

      Удалить