понедельник, 19 августа 2019 г.

Ст. 274.1 УК РФ. Взгляд Академии Генпрокуратуры.


   Позицию Правительства мы уже обсуждали, пришла очередь узнать мнение теоретиков от Генпрокуратуры.

Из интересного:
1. К ОКИИ относятся все ИС/АСУ/ИТКС органов государственной власти, вне зависимости от сфер функционирования.
2. Уголовное наказание только за ЗОКИИ (внесены в Реестр).
3. "Чистое хакерство" ОКИИ не наказуемо.
4. Ч.3 ст.274.1 применяется и для хакеров.
5. Вред КИИ =уничтожение, блокирование, модификация, копирование информации, содержащейся в критической информационной инфраструктуре, нейтрализация средств защиты указанной информации или выведение из строя аппаратных и программных средств, обеспечивающих функционирование критической информационной инфраструктуры.
6. Если разработчик-подрядчик вредоносного ПО не знал, что оно специально для КИИ, то не наказуем по этой статье.
7. Ст.274.1 УК РФ "сырая" и требует доработки.


ОБ УГОЛОВНОЙ ОТВЕТСТВЕННОСТИ ЗА НЕПРАВОМЕРНОЕ ВОЗДЕЙСТВИЕ
НА КРИТИЧЕСКУЮ ИНФОРМАЦИОННУЮ ИНФРАСТРУКТУРУ
РОССИЙСКОЙ ФЕДЕРАЦИИ (СТ. 274.1 УК РОССИИ)

А.Ю. РЕШЕТНИКОВ, Е.А. РУССКЕВИЧ

Решетников Александр Юрьевич, кандидат юридических наук, доцент, доцент кафедры уголовно-правовых дисциплин Академии Генеральной прокуратуры Российской Федерации.

Русскевич Евгений Александрович, кандидат юридических наук, старший преподаватель кафедры уголовного права Московского университета МВД России имени В.Я. Кикотя.

    Статья посвящена анализу новеллы отечественного уголовного законодательства об ответственности за неправомерное воздействие на объекты критической информационной инфраструктуры Российской Федерации, принятой Федеральным законом от 26 июля 2017 г. N 194-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации". В работе предлагаются рекомендации по квалификации соответствующего преступления, выделяются недочеты, допущенные при конструировании ст. 274.1 УК РФ, и формулируются предложения по их устранению. Статья предназначена для студентов, аспирантов, преподавателей, научных работников, сотрудников правоохранительных органов и практикующих юристов, а также для всех, кто интересуется соответствующей проблематикой.
    С 1 января 2018 г. вступил в силу Федеральный закон от 26 июля 2017 г. N 194-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" <1>, которым гл. 28 УК РФ была дополнена специальной нормой об ответственности за неправомерное воздействие на объекты критической информационной инфраструктуры Российской Федерации (ст. 274.1).
    Специальная уголовно-правовая охрана информационно-коммуникационного комплекса, обеспечивающего нормальное функционирование особо важных для общества и государства объектов, не является изобретением российского законодателя и встречается во многих современных правовых режимах. Положения об уголовной ответственности за посягательства на публичные информационные ресурсы, обладающие исключительной значимостью, имеются в законодательстве Великобритании, Германии, Китая, Сингапура, США, Франции и др. В рамках СНГ использование категории "объект критической информационной инфраструктуры" пока еще не получило широкого распространения. Так, в ряду квалифицирующих признаков совершения компьютерных преступлений УК Азербайджана содержится указание на "инфраструктурные объекты общественного значения". В соответствии с примечанием к ст. 271 УК Азербайджана под такими объектами подразумеваются государственные учреждения, предприятия, организации, неправительственные организации (общественные объединения и фонды), кредитные организации, страховые компании, инвестиционные фонды, которые представляют большую значимость для государства и общества <2>. Новый Уголовный кодекс Республики Казахстан использует ограничительный подход и дифференцирует преступления в сфере компьютерной информации в зависимости от их направленности на "государственные электронные информационные ресурсы и информационные системы государственных органов", т.е. только те электронные информационные ресурсы, которые были созданы или приобретены за счет бюджетных средств <3>.
    Всемирно известными примерами компьютерных атак на критическую инфраструктуру государства являются остановка центрифуг иранской атомной станции с помощью компьютерного вируса "StuxNet" в сентябре 2010 г. и выведение из строя нескольких крупных финансовых учреждений Южной Кореи в марте 2013 г. Отечественные объекты также подвергались неправомерным воздействиям со стороны киберпреступников. При этом назначенные наказания за их совершение нельзя назвать не то чтобы строгими, но хотя бы относительно адекватными содеянному. Так, в мае 2012 г. житель Красноярска, являясь последователем движения Anonymous, совершил хакерскую атаку на сайт Президента РФ. Суд приговорил его к одному году лишения свободы. Примерно через год практически идентичную атаку совершил житель Томска, вызвав блокировку указанного сайта. По данному делу суд назначил также мягкое наказание - полтора года ограничения свободы <4>.
    Не впадая в бесплодный оптимизм, следует с сожалением констатировать, что в будущем инциденты подобного рода более чем вероятны. Меры информационной защиты, подобно всем мерам юридического противодействия криминальным явлениям, всегда имеют догоняющий характер. Стремительно развивающаяся архитектура виртуального пространства не только качественно улучшает нашу жизнь, но и параллельно с этим генерирует новые риски и угрозы. В докладе The Global Risks Report 2016, подготовленном по итогам Давосского экономического форума, выход из строя критически важной информационной инфраструктуры (critical information infrastructure breakdown) назван среди наиболее актуальных угроз мировой экономики <5>. В связи с этим информационные ресурсы стратегического значения, связанные с обеспечением общественной и государственной безопасности, должны быть действенно и эффективно защищены, в том числе с помощью системы дифференцированных мер уголовной ответственности за посягательства на их доступность и целостность.
    Редакция ст. 274.1 УК РФ представляет собой объединение трех традиционных для отечественного законодательства форм преступного посягательства на безопасность компьютерных данных и систем: 1) неправомерный доступ; 2) создание и распространение вредоносного контента и 3) нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации.
     По смыслу ст. 274.1 УК РФ все эти деяния должны быть направлены против объектов критической информационной инфраструктуры. Таким образом, анализируемая уголовно-правовая норма конкурирует сразу с тремя статьями (ст. ст. 272, 273 и 274 УК РФ) и является специальной по отношению к ним. В некотором смысле конструирование ст. 274.1 УК РФ противоречит сложившимся отечественным традициям криминализации и использования приемов юридической техники при описании уголовно-правовых норм. Следуя им, установление более строгой уголовной ответственности за посягательства на объекты критической информационной инфраструктуры предпочтительнее было бы реализовать путем выделения соответствующих квалифицирующих и особо квалифицирующих признаков в ст. ст. 272, 273 и 274 УК РФ.
     Анализируемая уголовно-правовая норма имеет бланкетный характер, что предполагает обязательное обращение к Федеральному закону от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" <6>.
    Объектом преступлений, предусмотренных ст. 274.1 УК РФ, выступает безопасность критической информационной инфраструктуры Российской Федерации, т.е. состояние ее защищенности от любого воздействия программными или программно-техническими средствами, которое способно привести к нарушению ее функционирования и (или) нарушению безопасности обрабатываемой ею информации.
    Предметом преступления, предусмотренного ч. 1 ст. 274.1 УК РФ, является компьютерная информация или компьютерные программы, заведомо предназначенные для совершения компьютерных атак на объекты критической информационной инфраструктуры. Нельзя не отметить, что установление данного признака на практике может вызвать значительные затруднения. Функциональная направленность вредоносной программы, т.е. ее предназначение именно для посягательств на соответствующие объекты, может быть установлена только в случае уникальности средств и технологий программной защиты объектов критической информационной инфраструктуры, что представляется маловероятным.
    Специфическим предметом преступлений, предусмотренных ч. ч. 2 и 3 ст. 274.1 УК РФ, выступают объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной промышленности, атомной промышленности, ракетно-космической промышленности, горнодобывающей промышленности, металлургической промышленности и химической промышленности.
    Относимость того или иного информационного ресурса к критическому определяется посредством его включения в Реестр значимых объектов критической информационной инфраструктуры (ст. 8 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации").
    Объективная сторона преступления, предусмотренного ч. 1 ст. 274.1 УК РФ, предполагает совершение любого из трех альтернативных действий: 1) создание; 2) использование или 3) распространение компьютерных программ или информации, заведомо предназначенных для совершения атак на объекты критической информационной инфраструктуры.
    Состав по конструкции (по моменту описания в законе момента окончания преступления) является формальным. Если лицо одновременно разработало, использовало и распространило вредоносную компьютерную программу, заведомо предназначенную для совершения компьютерных атак на объекты критической информационной инфраструктуры, содеянное образует единое преступление.
    Объективная сторона преступления, предусмотренного ч. 2 ст. 274.1 УК РФ, заключается в неправомерном доступе к компьютерной информации, содержащейся в критической информационной инфраструктуре. Состав по конструкции является материальным. Преступление считается оконченным только в случае причинения вреда критической информационной инфраструктуре Российской Федерации. Таким образом, следует сделать вывод, что сам по себе неправомерный доступ (так называемое "чистое хакерство", осуществляемое из профессионального интереса без намерения причинить вред) по смыслу ч. 2 ст. 274.1 УК РФ не является преступлением. В свою очередь, если лицу, осуществившему неправомерный доступ к компьютерной информации, содержащейся в критической информационной инфраструктуре, по независящим от него обстоятельствам не удалось причинить вред критической информационной инфраструктуре Российской Федерации (например, в результате успешного срабатывания антивирусного программного обеспечения или действий сотрудников, отвечающих за информационную безопасность организации), содеянное следует квалифицировать как покушение на преступление по ч. 3 ст. 30, ч. 2 ст. 274.1 УК РФ.
    Вред как конструктивный признак состава преступления, предусмотренного ч. 2 ст. 274.1 УК РФ, не конкретизирован. Системное толкование отечественного уголовного законодательства позволяет сделать вывод, что таковыми являются уничтожение, блокирование, модификация, копирование информации, содержащейся в критической информационной инфраструктуре, нейтрализация средств защиты указанной информации или выведение из строя аппаратных и программных средств, обеспечивающих функционирование критической информационной инфраструктуры (за исключением случаев, когда это повлекло причинение смерти или тяжкого вреда здоровью человека, причинение средней тяжести вреда здоровью двум или более лицам, массовое причинение легкого вреда здоровью людей, наступление экологических катастроф, транспортных или производственных аварий, повлекших длительную остановку транспорта или производственного процесса, дезорганизацию работы конкретного предприятия, причинение особо крупного ущерба, т.е. тяжких последствий <7>, предусмотренных ч. 5 ст. 274.1 УК РФ).
   Следует отдельно указать, что диспозиция ч. 2 ст. 274.1 УК РФ по сути содержит признаки составного преступления, поскольку указывает, что под неправомерным доступом следует также понимать доступ с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ. Таким образом, ч. 2 ст. 274.1 УК РФ охватывает и не требует квалифицировать по совокупности неправомерный доступ к объектам критической информационной инфраструктуры, совершенный с использованием заведомо предназначенных для этого вредоносных программ (ч. 1 ст. 274.1 УК РФ) или иных вредоносных программ (ст. 273 УК РФ). При этом если лицо, использовавшее программу, являлось и ее разработчиком, содеянное необходимо квалифицировать по совокупности преступлений. В данном случае вполне применимо известное правило квалификации, согласно которому действия по подготовке или исполнению деяния, не входящие в объективную сторону оконченного преступления (которые по сути не являются юридически значимым способом совершения этого преступления), должны получить самостоятельную уголовно-правовую оценку по другой статье закона <8>.
    Кроме того, совокупность преступлений, предусмотренных ст. 273 УК РФ и ч. 1 ст. 30 ч. 2 ст. 274.1 УК РФ, может иметь место и в том случае, когда лицо создает компьютерную программу либо иную компьютерную информацию, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации.  Однако в этом случае необходимо доказать умысел лица на их дальнейшее использование.
   Практически значимым аспектом является оценка действий субъекта, который за вознаграждение изготавливает вредоносное программное обеспечение, предназначенное по своим характеристикам для осуществления атаки на объект критической информационной инфраструктуры, и сбывает его. При отсутствии осведомленности о том, что с данным информационным орудием собирается делать заказчик, действия соответствующих лиц нельзя признать согласованными и совместными. Это исключает саму постановку вопроса о возможности соучастия в данном случае. При обратной ситуации, когда лицо понимает, для каких целей изготавливается данная программа, содеянное необходимо квалифицировать как пособничество в совершении неправомерного доступа, т.е. по ч. 5 ст. 33 и ч. 2 ст. 274.1 УК РФ.
    Объективная сторона преступления, предусмотренного ч. 3 ст. 274.1 УК РФ, заключается в нарушении:
1) правил эксплуатации: а) средств хранения, обработки или передачи охраняемой компьютерной информации; б) информационных систем; в) информационно-телекоммуникационных сетей; г) автоматизированных систем управления; д) сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации;
2) правил доступа к указанным средствам, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи.
     Состав по конструкции является материальным; преступление считается оконченным только в случае причинения вреда критической информационной инфраструктуре Российской Федерации. В отличие от ст. 274 УК РФ, характеризующейся двумя уровнями взаимосвязанных общественно опасных последствий, ч. 3 ст. 274.1 УК РФ не предполагает установления признака крупного ущерба.
   Учитывая специфику объектов посягательства, следует отметить, что совершение компьютерных атак на информационные ресурсы объектов транспорта, оборонной, атомной, ракетно-космической или химической промышленности может содержать признаки и других преступлений, предусмотренных ст. ст. 205, 281, 275, 276 УК РФ и др.
    Субъектом преступлений, предусмотренных ч. ч. 1 и 2 ст. 274.1 УК РФ, является физическое вменяемое лицо, достигшее возраста 16 лет. Субъектом ч. 3 ст. 274.1 УК РФ может быть как общий - в части правил доступа к ресурсам, так и специальный - в части соблюдения правил эксплуатации соответствующих средств, систем и сетей.
   Субъективная сторона создания, использования и распространения компьютерных программ или информации, заведомо предназначенных для совершения атак на объекты критической информационной инфраструктуры, характеризуется прямым умыслом. Лицо, совершая те или иные действия, должно осознавать, что они направлены на публичные информационные ресурсы, обладающие исключительной важностью для общества и государства и включенные в соответствующий реестр.
   При неправомерном доступе (ч. 2 ст. 274.1 УК РФ) умысел может быть как прямым, так и косвенным.
    Субъективная сторона преступления, предусмотренного ч. 3 ст. 274.1 УК РФ, характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа может совершаться как умышленно, так и по неосторожности. Следует поддержать точку зрения Н.Ш. Козаева, что неуказание на форму вины в составе нарушения правил эксплуатации средств хранения, обработки или передачи компьютерных данных (автор формулирует данный вывод применительно к ст. 274 УК РФ) является упущением законодателя, поскольку сама конструкция состава логически требует признания возможности совершения деяния по неосторожности, но ч. 2 ст. 24 УК РФ позволяет признавать преступление совершенным по неосторожности, только если это предусмотрено соответствующей статьей Особенной части УК РФ <9>.
    Квалифицированные виды неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, предусмотренные ч. ч. 4 и 5 ст. 274.1 УК РФ, являются традиционными для преступлений в сфере компьютерной информации и в целом хорошо освещены в современной литературе <10>.
    Дискуссионными, пожалуй, можно назвать два реализованных решения. Во-первых, законодатель проявил малопонятную последовательность в регламентации совершения преступления предварительно сговорившейся и организованной группами в рамках одной части. Очевидно, что уравнивание таких качественно разных по опасности форм соучастия вряд ли отвечает научно обоснованным критериям дифференциации ответственности. Во-вторых, все преступления в сфере компьютерной информации в качестве особо отягчающего обстоятельства называют наступление тяжких последствий или создание угрозы их наступления. Вместе с тем уголовно-правовая норма, предусмотренная ст. 274.1 УК РФ, такой оговорки не содержит, что, учитывая особую значимость объектов посягательства, представляется по меньшей мере ошибочным.
   Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" предполагает категорирование всех объектов в зависимости от социальной, политической, экономической значимости, а также значимости объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка. К сожалению, действующая редакция ст. 274.1 УК РФ не учитывает данное деление, что представляется существенным упущением не только с точки зрения игнорирования критериев дифференциации уголовной ответственности, но и что, пожалуй, более значимо, - анализируемая уголовно-правовая новелла не позволяет должным образом оценить различия в объеме и значимости социальных последствий криминальных посягательств на объекты критической инфраструктуры. Возможности учета опасности указанного деяния только лишь посредством дифференциации уголовного наказания, как представляется, явно недостаточны. Полагаем, что в этой части уголовно-правовая норма об ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации требует корректировки.

Библиографический список

1. Гузеева О.С. Преступления, совершаемые в российском сегменте сети Интернет: Монография. М.: Академия Генеральной прокуратуры Российской Федерации, 2015.
2. Козаев Н.Ш. Современные технологии и проблемы уголовного права (анализ зарубежного и российского законодательства): Монография. М.: Юрлитинформ, 2015.
3. Комментарий к Уголовному кодексу Российской Федерации (научно-практический, постатейный) / Под ред. С.В. Дьякова, Н.Г. Кадникова. 5-е изд., перераб. и доп. М.: Юриспруденция, 2017.
4. Решетников А.Ю. Квалификация неоконченных преступлений при наличии признаков совокупности преступлений // Вестник Академии Генеральной прокуратуры Российской Федерации. 2016. N 4.
5. Русскевич Е.А. Уголовно-правовое противодействие преступлениям, совершаемым с использованием информационно-коммуникационных технологий: Учебное пособие. М.: ИНФРА-М, 2017.

Использовались материалы с "Консультант".

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

7 комментариев:

  1. Конечно, ст. 274.1 УК РФ несовершенна, но и не совершенная и статья этих юристов. Они, как мне кажется, может быть и хотели разобраться в пробоеме со всех сторон, но разобрали, в итоге, эту статью уголовного кодекса с точки зрения уголовного права, а в законодательство о КИИ погрузились только поверхностно.

    ОтветитьУдалить
  2. Статья посвящена исключительно уголовное ответственности по УК РФ, то есть 194-фз, а не 187-фз. К 187-ФЗ автор обращается вынужденно, так как ст. 274.1 УК РФ имеет банкетный характер.

    ОтветитьУдалить
  3. А выводы о несовершенстве статьи в УК уже кто только не озвучил. От конституционноно суда до региональных оив. Но пока побеждает позиция, что отсутствие правоприменительной практики не позволяет сделать вывод о необходимости изменений.

    ОтветитьУдалить
  4. Я о том и говорю, что бланкетный характер рассматриваемой уголовной статьи должен подразумевать, как мне кажется, погружения в соотвесмвующую область. Но это все на совести авторов статьи.

    ОтветитьУдалить
  5. Как раскрыть понятие вреда объекту КИИ в ч.3 ст. 274.1 УК РФ? Копирование, модификация и т.д.?

    ОтветитьУдалить
    Ответы
    1. копирование, модификация, уничтожение информации, обрабатываемой в ОКИИ, может повлечь нанесение вреда. но само себе вредом КИИ не является

      Удалить
  6. Этот комментарий был удален администратором блога.

    ОтветитьУдалить