понедельник, 7 октября 2019 г.

Наказание за нарушение правил эксплуатации


   Два судебных решения по привлечению к ответственности преступников по ч.4 ст.274.1 УК РФ разбудили интерес ы обществе к проблематики уголовной ответственности в сфере КИИ. Еще наказывают за "хакерский" состав, субъектам же, пока еще остается изучать вопросы применения статьи прародительницы 274 УК РФ, продолжающей свое действие.
Свой взгляд на проблему применения ст.274 УК РФ я описал ранее.


 Выводы по статье:
1. Автор статьи предложил отнести кражи с банкоматов с использованием вредоносного ПО к нарушению правил эксплуатации КИИ. Квалификация не по ч.1 и ч.2, а именно по ч.3 ст.274.1 УК РФ.
2. Автор статьи считает, что любого хакера за компьютерную атаку через интернет можно привлекать за "нарушение правил эксплуатации Интернета". Правда, он почему то ограничился только DDoS-атаками на сайты, но ничего не мешает так квалифицировать и другие виды вредоносной деятельности. На самом деле, это вполне серьезный вариант. Преступник получает доступ в интернет через договор с провайдером, если там есть раздел с запретом на вредоносную деятельность, то можно квалифицировать как нарушение правил эксплуатации ИТКС провайдера, которая точно ОКИИ.
3. Полностью поддерживаю автора статьи по позиции о необходимости скорейшего принятия постановления Пленума Верховного Суда Российской Федерации, разъясняющего вопросы правоприменения ст.274 и ст.274.1 УК РФ

P. S. Телеграм-группа для обсуждения заметки https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.


** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

АКТУАЛЬНЫЕ ВОПРОСЫ СОВЕРШЕНСТВОВАНИЯ СУДЕБНОЙ ПРАКТИКИ
ПО УГОЛОВНЫМ ДЕЛАМ О НАРУШЕНИИ ПРАВИЛ ЭКСПЛУАТАЦИИ СРЕДСТВ
ХРАНЕНИЯ, ОБРАБОТКИ ИЛИ ПЕРЕДАЧИ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
И ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ (СТ. 274 УК РФ)
Евдокимов Константин Николаевич, доцент кафедры государственно-правовых дисциплин Иркутского юридического института (филиала) Академии Генеральной прокуратуры Российской Федерации, кандидат юридических наук, доцент.
       Статья посвящена особенностям квалификации деяний, предусмотренных статьей 274 Уголовного кодекса РФ. В научной работе исследуется судебная практика рассмотрения уголовных дел о нарушении правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей. Автором вносятся предложения по совершенствованию практики рассмотрения судами уголовных дел о преступлениях данного вида.
        Российское правосудие выступает важным элементом в механизме противодействия компьютерным преступлениям и обеспечении информационной безопасности Российской Федерации.
        Вместе с тем осуществление правосудия по уголовным делам о преступлениях в сфере компьютерной информации может быть эффективным только при наличии единообразной и постоянно совершенствующейся судебной практики.
       Одним из проблемных с точки зрения юридической квалификации преступлений в сфере компьютерной информации является нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, уголовная ответственность за совершение которого предусмотрена ст. 274 Уголовного кодекса Российской Федерации (далее - УК РФ).
       В соответствии с ч. 1 ст. 274 УК РФ ответственность для виновного лица наступает за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, размер которого превышает один миллион рублей.
        Выявление указанных преступлений правоохранительными органами носит единичный характер. Так, по данным ГИАЦ МВД России, в 2010, 2011, 2013 гг. уголовные дела по данной статье УК РФ не возбуждались, в 2012 г. было возбуждено 1 уголовное дело, в 2014 г. - 3 уголовных дела, в 2015 году - 12 уголовных дел, в 2016 г. - 3 уголовных дела, в 2017 г. - 2 уголовных дела <1>.
      Поэтому судебная практика рассмотрения уголовных дел по ст. 274 УК РФ носит крайне редкий характер, что связано с небольшим количеством дел, направленных следователями в суд с обвинительным заключением, а также с проблемами квалификации и доказывания нарушения подсудимым правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационных сетей, оконечного оборудования либо доступа к информационно-телекоммуникационным сетям и размера причиненного вреда на сумму свыше одного миллиона рублей. При этом часть и без того немногочисленных уголовных дел судами была прекращена.
          Так, например, Лефортовским районным судом г. Москвы было рассмотрено уголовное дело по обвинению гр-на А. в совершении преступления, предусмотренного ч. 1 ст. 274 УК РФ.
Судом было установлено, что А. работал по трудовому договору ведущим системным администратором отдела технической поддержки UNIX в ООО "Приват Трэйд". Между руководством ООО "Приват Трэйд" и А. было заключено соглашение о сохранении служебной и коммерческой тайны, которое обязывает сотрудника ООО "Приват Трэйд" не разглашать сведения, содержащие служебную тайну, какому-либо лицу и подчиняться правилам, существующим на предприятии, и указаниям должностных лиц, направленным на защиту служебной тайны (п. 3), которое было А. изучено и собственноручно подписано.
           Однако гр-н А., используя служебные логин и пароль для доступа в компьютерную систему, в нарушение установленных правил скопировал на свой USB-носитель из базы данных ООО "Приват Трэйд" не менее 85 000 учетных записей, содержащих не прошедшие проверку имена, фамилии, никнеймы (имена, которые используются при регистрации на интернет-сайтах), а также адреса электронной почты, которые впоследствии передал В., который не был осведомлен о том, что полученная им информация охраняется внутренними документами ООО "Приват Трэйд", а также действующим законодательством Российской Федерации.
         Таким образом, А. нарушил правила эксплуатации средств хранения и передачи охраняемой компьютерной информации, а именно произвел копирование компьютерной информации, чем причинил крупный ущерб ООО "Приват Трэйд" на общую сумму 1 155 600 руб.
Между тем Постановлением Лефортовского районного суда г. Москвы от 29 сентября 2014 г. уголовное дело в отношении А. было возвращено прокурору ЮВАО г. Москвы, в связи с тем что суд пришел к выводу, что обвинительное заключение составлено с нарушением требований Уголовно-процессуального кодекса РФ (далее - УПК РФ), что исключает возможность постановления судом приговора или вынесения иного решения на основании данного обвинительного заключения.
          Данное решение суда по апелляционному представлению заместителя прокурора ЮВАО г. Москвы было отменено Апелляционным постановлением Московского городского суда от 12 ноября 2014 г. по делу N 10-15427 и направлено на новое судебное рассмотрение. Квалификация преступления была признана судом правильной <2>. Однако последующим Постановлением Лефортовского районного суда г. Москвы от 13 января 2015 г. уголовное дело N 1-6/2015 (1-401/2014) по обвинению А. по ч. 1 ст. 274 УК РФ было прекращено за истечением сроков давности на основании п. 3 ч. 1 ст. 24 УПК РФ.
        Также следует отметить, что преступление, предусмотренное ст. 274 УК РФ, как самостоятельный состав встречается в судебно-следственной практике достаточно редко и чаще всего выявляется и квалифицируется в совокупности с другими преступными деяниями.
         Так, 11 декабря 2015 г. приговором Верх-Исетского районного суда города Екатеринбурга Свердловской области за совершение 11 преступлений, предусмотренных ч. 2 ст. 273 УК РФ, 9 преступлений, предусмотренных ч. 3 ст. 272 УК РФ, 9 преступлений, предусмотренных ч. 3 ст. 183 УК РФ, 6 преступлений, предусмотренных ч. 1 ст. 274 УК РФ, 6 преступлений, предусмотренных п. п. "а", "б" ч. 4 ст. 158 УК РФ, 3 преступлений, предусмотренных п. "а" ч. 4 ст. 158 УК РФ, 2 преступлений, предусмотренных ч. 1 ст. 30, п. п. "а", "б" ч. 4 ст. 158 УК РФ, к наказанию в виде лишения свободы сроком на пять лет шесть месяцев с отбыванием наказания в исправительной колонии общего режима были осуждены граждане Республики Молдова Р., В., К.
           Судом было установлено, что Р., В., К. вступили в преступный сговор из корыстных побуждений с другими не установленными следствием лицами, создав организованную преступную группу. В течение июня - июля 2014 г. совершили ряд тяжких преступлений против собственности в виде тайного хищения наличных денежных средств в крупных и особо крупных размерах из банкоматов марки NCR, принадлежащих коммерческим банкам, расположенным в гг. Санкт-Петербурге, Домодедово Московской области, Бору Нижегородской области, Нижнем Новгороде, Перми, Екатеринбурге, путем предварительного незаконного сбора сведений о коммерческой тайне банков, посредством неправомерного и скрытого доступа к компьютерной информации, используя вредоносную компьютерную программу Backdoor.Win32.Tyupkin.d, влекущую нарушение правил эксплуатации банкоматов, похитили денежные средства на общую сумму 17 319 000 руб. и завершили приготовление к тайному хищению денежных средств из двух банкоматов на сумму 7 929 300 руб. <4>.
         Как видно из приведенного примера, действия преступников были квалифицированы дополнительно по ст. 273 УК РФ (использование вредоносной компьютерной программы) и ст. 158 УК РФ (кража).
          Между тем следует отметить, что Верховный Суд Российской Федерации был инициатором введения в УК РФ ст. 159.6 "Мошенничество в сфере компьютерной информации", предусматривающей ответственность за хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей.
      В связи с введением в УК РФ нового состава преступления суды стали квалифицировать хищения денежных средств из банкоматов как по ст. 158 УК РФ, так и по ст. 159.6 УК РФ.
       Так, приговором Кировградского городского суда Свердловской области от 5 августа 2016 г. за совершение преступлений, предусмотренных ч. 2 ст. 273, ч. 2 ст. 272, ч. 1 ст. 274, ч. 2 ст. 159.6 УК РФ, были осуждены гр. Ш. - к наказанию в виде 2 лет 6 месяцев лишения свободы с отбыванием в колонии-поселении и гр. Т. - к наказанию в виде 2 лет исправительных работ с удержанием ежемесячно в доход государства 15% заработка с отбыванием в местах, определяемых органом местного самоуправления.
         Судом было установлено, что Ш. и Т., вступив в преступный сговор, из корыстных побуждений в течение 2014 - 2015 гг. совершили хищения чужого имущества путем ввода, блокирования, модификации компьютерной информации со счетов коммерческих банков, расположенных в гг. Кызыле, Абакане, Казани, Екатеринбурге, путем предварительного незаконного сбора сведений о коммерческой тайне банков, посредством неправомерного и скрытого доступа к компьютерной информации, используя вредоносную компьютерную программу, предназначенную для удаленного эмулирования функции купюроприемника банкомата, без фактического внесения денежных средств и перевода денежных средств на банковские карты, влекущую нарушение правил эксплуатации банкоматов. Указанные лица похитили денежные средства на общую сумму 2 658 273 руб. <5>.
         В настоящее время, по мнению автора, по вопросу о хищении денежных средств из банкоматов сложились две взаимоисключающие позиции Верховного Суда РФ: первая позиция, основанная на п. 17 Постановления Пленума Верховного Суда РФ от 30 ноября 2017 г. N 48 "О судебной практике по делам о мошенничестве, присвоении и растрате", предполагает квалификацию деяния по соответствующей части ст. 158 УК РФ. Вторая основывается на Постановлении Пленума Верховного Суда Российской Федерации от 5 апреля 2012 г. N 6 "О внесении в Государственную Думу Федерального Собрания Российской Федерации проекта Федерального закона "О внесении изменений в Уголовный кодекс Российской Федерации и иные законодательные акты Российской Федерации" <6>, допуская возможность квалификации деяния по соответствующей части ст. 159.6 УК РФ.
        Поэтому при отсутствии постановления Пленума Верховного Суда Российской Федерации о судебной практике по уголовным делам о преступлениях в сфере компьютерной информации остается неясным, по ст. ст. 158 или 159.6 УК РФ следует квалифицировать хищение денежных средств из банкоматов, совершенное с помощью вредоносных компьютерных программ.
         Кроме того, вышеуказанные примеры судебной практики показывают, что суды не применяют либо крайне редко применяют при квалификации рассматриваемых деяний ст. ст. 183 и 187 УК РФ. Между тем большинство хищений денежных средств с банковских счетов, банкоматов, платежных терминалов и т.д., осуществленных с помощью IT-технологий, нарушают банковскую или коммерческую тайну, а также совершаются с использованием поддельных платежных карт.
         В частности, с помощью "скиммингового оборудования", установленного на банкомат (платежный терминал), преступники копируют с банковской карты потерпевшего сведения, представляющие банковскую тайну (номер карты, номер банковского счета клиента, сумма остатка денежных средств на банковском счету и карте, информация о последних транзакциях, ПИН-код банковской карты и др.), т.е. совершают преступление, предусмотренное ч. 3 ст. 183 УК РФ, - собирание сведений, составляющих банковскую и коммерческую тайну, незаконным способом, из корыстной заинтересованности. Впоследствии преступники изготавливают поддельные банковские карты, на которые с помощью специального оборудования записывают незаконно полученную компьютерную информацию, а затем по изготовленным кредитным или расчетным картам снимают в банкоматах денежные средства с финансовых счетов потерпевших (незаконные транзакции). В этом случае их действия охватываются ч. 1 ст. 187 УК РФ, т.е. изготовление, хранение, транспортировка в целях использования поддельных платежных карт, а также электронных средств, электронных носителей информации, технических устройств, компьютерных программ, предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств.
          Авторская позиция о дополнительной квалификации деяний по ст. 183 УК РФ находит свое подтверждение в некоторых материалах судебной практики <7>.
          В свою очередь, авторская точка зрения по поводу необходимости дополнительной квалификации действий компьютерных преступников по ст. 187 УК РФ нашла частичное отражение в позиции Верховного Суда Российской Федерации, который в п. 18 своего Постановления от 30 ноября 2017 г. N 48 "О судебной практике по делам о мошенничестве, присвоении и растрате" указал, что если изготовление, приобретение, хранение, транспортировку поддельных платежных карт, а также компьютерных программ, предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств, лицо осуществило в целях их использования им же для совершения преступления, предусмотренного ч. ч. 3 или 4 ст. 158 УК РФ, ч. ч. 3 или 4 ст. 159 УК РФ, ч. ч. 3 или 4 ст. 159.3 УК РФ либо ч. ч. 3 или 4 ст. 159.6 УК РФ, которое по независящим от него обстоятельствам не смогло довести до конца, то содеянное следует квалифицировать как совокупность приготовления к указанному преступлению и оконченного преступления, предусмотренного ст. 187 УК РФ <8>.
             Поэтому с учетом позиций Верховного Суда Российской Федерации автор полагает, что при хищении денежных средств из банкоматов с помощью поддельных банковских карт действия виновных лиц должны квалифицироваться по соответствующим частям ст. ст. 159.6, 183, 187, 272, 274 УК РФ. В случае если преступники используют для хищения денежных средств из банкоматов вредоносные компьютерные программы, то деяния следует дополнительно квалифицировать по соответствующей части ст. 273 УК РФ.
          Резюмируя вышесказанное, можно сделать вывод о несовершенстве и противоречивости судебной практики при рассмотрении уголовных дел о преступлениях, предусмотренных ст. 274 УК РФ. При этом, по мнению автора, типичные ошибки судей заключаются в следующем.
В большинстве случаев суды не рассматривают банкомат как средство хранения, обработки и передачи компьютерной информации. Поэтому при хищении из него денежных средств не осуществляют дополнительную квалификацию по ч. 1 ст. 274 УК РФ либо ч. 3 ст. 274.1 УК РФ.
        При вынесении обвинительных приговоров по указанным преступлениям суды не учитывают, что преступники предварительно осуществляют собирание и использование сведений, составляющих банковскую или коммерческую тайну, незаконным способом, совершенные из корыстной заинтересованности. Тем самым их действия требуют дополнительной квалификации по ч. 3 ст. 183 УК РФ, а в случае использования поддельных платежных карт - по ч. 1 ст. 187 УК РФ.
       При квалификации DDoS-атак на интернет-ресурсы органов власти, организаций, предприятий, учреждений, граждан и их объединений суды не рассматривают действия преступника по ч. 1 ст. 274 или ч. 3 ст. 274.1 УК РФ, несмотря на то, что для достижения своих преступных целей лицо нарушает правила эксплуатации и доступа к информационно-телекоммуникационной сети (в данном случае сети Интернет).
       В заключение необходимо отметить, что отсутствие единообразия и противоречивость судебной практики по уголовным делам о преступлениях в сфере компьютерной информации диктуют необходимость скорейшего принятия постановления Пленума Верховного Суда Российской Федерации, которое дало бы судам соответствующие разъяснения о квалификации преступных деяний данного вида.

Комментариев нет:

Отправить комментарий