вторник, 12 января 2021 г.

Ст.274.1 УК РФ. Как все начиналось для операторов связи в 2019 году

       


   Долго не удавалось найти текст приговора и вот получилось. В 2019 году дальневосточный регион прогремел на всю страну. Сначала сотрудники ФСБ заставили деятельно раскаяться хакера, атаковавшего сайт Роскомнадзора. Потом взяли преступную группу, атаковавшую сеть судоремонтного завода. И на этом фоне были сообщения о вынесенном судебном решении, как то связанном с телекомом.

     Главный вопрос для субъектов КИИ на тот момент: как следствие определяет субъектов КИИ и объекты КИИ. Очень интересен вопрос трактовки "нанесение вреда КИИ РФ".

   Оказалось все просто. Суд этот вопрос вообще не изучал. Просто указано, что преступник "достоверно зная, что ПАО «Ростелеком» относится к объекту критической информационной инфраструктуры". На основании чего она достоверно знала, почему Ростелеком это объект КИИ? Почему объект, а не субъект КИИ. Это вопрос риторический.

   Позиция суда по трактовке "вреда КИИ" - "причинение вреда критической информационной инфраструктуре Российской Федерации, в виде копирования привилегированной информации особой ценности, принадлежащей и охраняемой ПАО «Ростелеком», утечка которой нанесла вред деловой репутации данного оператора связи, выразившийся в разглашении конфиденциальных сведений о местах расположения, адресах и иных контактных данных физических и юридических лиц различных форм собственности, включая правоохранительные органы и военизированные ведомства Приморского края."

  Используемые термины и  общая трактовка ст.274.1 УК РФ очень напоминает позицию Института законодательства и сравнительного правоведения при Правительстве РФ, опубликованную в мае 2019 года. Ознакомится можно здесь - https://valerykomarov.blogspot.com/2019/06/2741.html

  А основана эта позиция на методических рекомендаций Генпрокуратуры 2013 года , причем к ст.273 УК РФ.

  Так это позиция и продолжает жить дальше в судебных решениях.

  Сводная информация по применению стю274.1 УК РФ - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/sudebnaia-praktika-po-st-2741-uk-rf-itogi-za-tri-goda-5ffae131af142f0b1716ee38

П Р И Г О В О Р

Именем Российской Федерации

    г. Владивосток                                                                         25 сентября 2019 года

    Ленинский районный суд г. Владивостока Приморского края РФ в составе председательствующего судьи Пасешнюк И.В.,

с участием государственного обвинителя- старшего помощника прокурора Ленинского района г.Владивостока Савченко О.А.,

подсудимой Гагиевой О.С.,

защитника – адвоката Смурова А.Д.,

представителя потерпевшего ПАО «Ростелеком» Ивкова И.Г.,

при секретаре Мельянкиной Е.В., Полевой А.Д.,

рассмотрев в особом порядке в открытом судебном заседании материалы уголовного дела в отношении Гагиевой Олеси Сергеевны, родившейся ДД.ММ.ГГГГ в <адрес>, гражданки РФ, с неоконченным высшим образованием, не военнообязанной, зарегистрированной по адресу: <адрес>, проживающей по адресу: <адрес>, вдовы, иждивенцев не имеющей, работающей <данные изъяты> не судимой,

которой избрана мера пресечения в виде подписки о невыезде и надлежащем поведении,

обвиняемой в совершении преступления, предусмотренного ч.4 ст. 274.1 УК РФ,

УСТАНОВИЛ:

Гагиева О.С. совершила неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, что повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, с использованием своего служебного положения при следующих обстоятельствах.

Согласно ч. 4 ст. 29 Конституции Российской Федерации каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.

Согласно ч. 1 ч. 2 и п. 3 ч. 3 ст. 5 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

Информация в зависимости от порядка ее предоставления или распространения подразделяется на: информацию, свободно распространяемую; информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Одновременно, согласно п. п. 1-3 ч. 1 ст. 16 и 17 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;    соблюдение    конфиденциальности    информации    ограниченного доступа; реализацию права на доступ к информации.

Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Согласно ч. 1 ст.3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные -любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Следовательно, сведения, содержащие фамилию, имя и отчество физического лица, номер его телефона и адрес, являются персональными данными каждого конкретного абонента ПАО «Ростелеком». В свою очередь ПАО «Ростелеком» является оператором персональных данных, т.е. юридическим липом, организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, действия (операции), совершаемые с персональными данными.

Согласно ч.2 ст. 5 Федерального закона 152-ФЗ «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.     Не    допускается     обработка     персональных     данных, несовместимая с целями сбора персональных данных»

В силу п. 7 и 8 ст. 2 Федерального Закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» объекты критической информационной инфраструктуры –информационные системы,    информационно- телекоммуникационные сети, автоматизированные        системы        управления        субъектов        критической информационной инфраструктуры.

Субъекты критической информационной     инфраструктуры -государственные органы, государственные учреждения, российские юридические лица и     (или)     индивидуальные     предприниматели,     которым     на     праве собственности аренды, или    на    ином    законном    основании    принадлежат информационные      системы,      информационно -телекоммуникационные      сети, автоматизированные       системы        управления        субъектов        критической информационной инфраструктуры в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной ракетно -космической,    горнодобывающей,    металлургической    и    химической промышленности, российские юридические лица    и    (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

В    соответствии    с     приказом    о    приёме    работника    на    работу    от ДД.ММ.ГГГГ  Гагиева О.С. с ДД.ММ.ГГГГ принята на должность менеджера проектов отдела продаж и обслуживания среднего и малого бизнеса Приморского филиала ПАО«Ростелеком», с ней заключен трудовой договор от ДД.ММ.ГГГГ табельный  (далее - трудовой договор).

При трудоустройстве в ПАО «Ростелеком» Гагиева О.С. ДД.ММ.ГГГГ в соответствии с требованиями ст. 68 Трудового кодекса РФ до подписания с ней трудового договора была ознакомлена со своим трудовым договором и с иными локальными нормативными документами, регулирующими охрану и защиту информации, принадлежащей ПАО «Ростелеком».

Так, согласно п. 2.5.2. трудового договора от ДД.ММ.ГГГГ табельный  между ПАО «Ростелеком» и Гагиевой О.С., последняя была обязана соблюдать Правила внутреннего трудового распорядка, иные локальные нормативные акты Работодателя, трудовую дисциплину, требования по охране труда и обеспечению безопасности труда.

Согласно п.2.5.4 трудового договора Гагиевой О.С. запрещалось использовать без разрешения Работодателя имущество и информацию, принадлежащую ПАО «Ростелеком» для собственных целей или целей извлечения для себя прибыли.

Кроме того, в силу п. 61 трудового договора Гагиева О.С. при трудоустройстве в ПАО «Ростелеком» приняла на себя обязательства в течение срока действия заключенного с ней трудового договора, а также в течение неограниченного срока после его прекращения сохранять коммерческую и служебную тайну Работодателя, а также клиентов и деловых партнеров Работодателя, ставшие ей известными в результате исполнения трудовых функций по настоящему трудовому договору.

Вместе с тем, ДД.ММ.ГГГГ в ДД.ММ.ГГГГ (время местное) Гагиева О.С., являясь сотрудником ПАО «Ростелеком», имея доступ к базе данных «Авалон»(далее БД «Авалон») со сведениями об абонентах ПАО «Ростелеком», используя свое служебное положение, без разрешения собственника информации- ПАО «Ростелеком», осуществила неправомерный доступ со своего рабочего компьютера к электронным файлам, содержащим коммерческую тайну организации,    а    также    персональные    данные    абонентов    государственного оператора связи, в целях их неправомерного копирования.

ДД.ММ.ГГГГ в ДД.ММ.ГГГГ Гагиева О.С, находясь в офисе Приморского филиала макрорегионального филиала «Дальний Восток» ПАО «Ростелеком», по адресу: <адрес>, действуя умышленно, достоверно зная, что ПАО «Ростелеком» относится к объекту критической информационной инфраструктуры, используя свое служебное положение, осознавая противоправность и общественную опасность своих действий, воспользовавшись ранее выданными ей учетной записью <данные изъяты> и паролем, с рабочей станции <данные изъяты>, действуя в нарушение ч.4 ст. 29 Конституции Российской Федерации, ч. 1 ч. 2 и п. 3 ч. 3 ст. 5, п. п. 1-3 ч. 1 ст. 16 и 17 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ч. 1 ст. 3, ч. 2 ст. 5 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», осуществила неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, содержащейся в БД «Авалон» и хранящейся на защищенных сетевых ресурсах ПАО «Ростелеком».

Продолжая реализовывать свой преступный умысел, направленный на неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, Гагиева О.С.    без    ведома    собственника,    используя    свое    служебное    положение, осуществила     копирование     (выгрузку     из     БД     «Авалон»)     компьютерной информации, содержащей     сведения     о     корпоративных     клиентах      ПАО «Ростелеком»: фамилия,    имя,    отчество    физического    либо    наименование юридического лица, номер городского и (или) мобильного телефона, адрес абонента, сохранив её (информацию) в памяти указанной рабочей станции в виде папок:«1-100 А»,«БВГ»,«ДЖЗ», «ИКЛМ»,«НОП»,«PC»,«ТУФХЧШЭЮ» с электронными таблицами в формате «.xls», содержащие персональные данные абонентов ПАО «Ростелеком».

Далее, Гагиева О.С. поместила указанные папки в архив «streetss.7z», после чего, она с использованием специальной почтовой программы, установленной на рабочей станции, подключилась к своей личной электронной почте <данные изъяты> и, создав новое электронное письмо, прикрепила к нему указанный архив «streetss.7z» в качестве приложения к письму.

Указанное электронное письмо с вложением архива «streetss.7z» было отправлено Гагиевой О.С. на принадлежащие ей адреса электронной почты <данные изъяты> и <данные изъяты> После      успешного завершения отправки файла на адрес электронной почты <данные изъяты> Гагиева О.С. при помощи интернет-браузера, установленного на рабочей станции, зашла на данный почтовый ящик и перенаправила письмо на электронный почтовый ящик <данные изъяты>принадлежащий генеральному директору <данные изъяты> ФИО1.

ДД.ММ.ГГГГ Гагиева О.С., продолжая реализовывать преступный умысел, направленный на неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, используя свое служебное положение, понимая, что с 17 часов 00 минут ДД.ММ.ГГГГ она лишится доступа к базам данных абонентов ПАО «Ростелеком», поскольку находилась в процессе расторжения с ней трудового договора, в период времени с 09 часов 40 минут до 12 часов 10 минут (время местное), находясь на своем рабочем месте, в офисе Приморского филиала макрорегионального филиала «Дальний Восток» ПАО «Ростелеком», расположенном по адресу: <адрес>, с оформленной на неё корпоративной электронной почты <данные изъяты> повторно отправила на принадлежащий ей адрес электронной почты <данные изъяты> 278 писем, к каждому из которых прикрепила по одной выгруженной ею ранее из БД «Авалон» электронной таблице в формате «.xls», каждая из которых содержала персональные данные абонентов ПАО «Ростелеком» и была распределена в соответствии с названиями улиц города Владивостока.

Таким образом, Гагиева О.С. осуществила неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, содержащей персональные данные абонентов ПАО «Ростелеком», а также сведения, составляющие коммерческую тайну указанного оператора связи, в виде доступа к электронным файлам и их копирования на рабочую станцию <данные изъяты> ПАО «Ростелеком», а также на сервера <данные изъяты>», что повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, в виде копирования привилегированной информации особой ценности, принадлежащей и охраняемой ПАО «Ростелеком», утечка которой нанесла вред деловой репутации данного оператора связи, выразившийся в разглашении конфиденциальных сведений о местах расположения, адресах и иных контактных данных физических и юридических лиц различных форм собственности, включая правоохранительные органы и военизированные ведомства Приморского края.

В судебном заседании Гагиева О.С. полностью признала себя виновной и подтвердила заявленное при ознакомлении с материалами уголовного дела в порядке, предусмотренном ст. 217 УПК РФ, ходатайство о рассмотрении уголовного дела в особом порядке судебного разбирательства.

Данное ходатайство удовлетворено судом, поскольку предъявленное обвинение Гагиевой О.С. является обоснованным, подтверждается собранными по делу доказательствами, подсудимая    понимает существо предъявленного ей обвинения и соглашается с ним в полном объеме, она своевременно, добровольно и в присутствии защитника заявила ходатайство об особом порядке, осознает характер и последствия заявленного ею ходатайства, возражений защитника подсудимой, представителя    потерпевшего,    государственного обвинителя против удовлетворения заявленного ходатайства не последовало.

Исходя из установленных органами предварительного следствия фактических обстоятельств, подтвержденных подсудимой, суд признает Гагиеву О.С. виновной в совершении преступления и квалифицирует её действия по ч.4 ст.274.1 УК РФ, как неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, что повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, совершенное лицом с использованием своего служебного положения.

    При назначении наказания суд принимает во внимание характер и степень общественной опасности совершенного преступления, данные о личности виновной, наличие смягчающих и отягчающих наказание обстоятельств.

    Обстоятельствами, в соответствии с ч.1 ст.61 УК РФ, смягчающими наказание подсудимой, суд признает активное способствование раскрытию и расследованию преступления, согласно ч.2 ст.61 УК РФ- раскаяние в содеянном, принесение извинений руководству компании ПАО «Ростелеком».

    Обстоятельств, отягчающих наказание, в соответствии со ст. 63 УК РФ, судом не установлено.

Суд также учитывает, что Гагиева О.С. совершила умышленное оконченное преступление, отнесенное ст.15 УК РФ к категории тяжких преступлений в сфере компьютерной информации, что она на учетах у врачей психиатра и нарколога не состоит, по месту жительства и    работы характеризуется положительно.

Учитывая фактические обстоятельства по данному уголовному делу, степень общественной опасности совершенного Гагиевой О.С. преступления, несмотря на наличие смягчающих наказание обстоятельств, положения ч.6 ст.15 УК РФ, предусматривающие возможность для изменения категории совершенного преступления на менее тяжкую категорию, судом не применяются.

Исходя из тяжести совершенного преступления и личности подсудимой, оснований для постановления приговора без назначения наказания или освобождения от наказания Гагиеву О.С., судом не усмотрено.

Учитывая необходимость соответствия характера и степени общественной опасности преступления в сфере компьютерной информации,    обстоятельствам его совершения и личности виновной, а также необходимости влияния назначаемого наказания на исправление Гагиевой О.С. и предупреждения совершения ею новых преступлений, принимая во внимание конкретные обстоятельства дела, суд пришел к выводу, что справедливым, законным и в полной мере отвечающим целям и задачам наказание будет наказание в отношении подсудимой в виде лишения свободы с лишением права заниматься деятельностью, связанной с доступом к критической информационной инфраструктуре Российской Федерации.

При назначении наказания Гагиевой О.С. суд руководствуется требованиями ч.7 ст.316 УПК РФ о пределах наказания, назначаемого при рассмотрении уголовного дела в особом порядке, а    также положениями ч.1 ст.62 УК РФ о пределах наказания, назначаемого при наличии смягчающего наказание обстоятельства- активного способствования раскрытию и расследованию преступления.

Совокупность смягчающих наказание обстоятельств, отношение подсудимой к содеянному, ее возраст позволяют суду назначить Гагиевой О.С. наказание условно с испытательным сроком с возложением обязанностей: в течение 10 дней с момента вступления приговора в законную силу встать на учет в специализированном государственном органе, осуществляющего контроль за поведением условно- осужденной, куда один раз в месяц являться    для регистрации, не менять постоянного места жительства без уведомления специализированного государственного органа, осуществляющего контроль за поведением условно-осужденной.

Вопрос о вещественных доказательствах суд разрешает в соответствии с требованиями ст. 81 УПК РФ.

На основании изложенного, руководствуясь ст. 303, 304, 307-309, 314-317 УПК РФ, суд

                                           П Р И Г О В О Р И Л:

    Признать Гагиеву Олесю Сергеевну виновной    в совершении преступления, предусмотренного ч.4 ст.274.1 УК РФ.

              Назначить Гагиевой Олесе Сергеевне наказание по ч.4 ст.274.1 УК РФ в виде 3 лет лишения свободы с лишением права заниматься деятельностью, связанной с доступом к критической информационной инфраструктуре Российской Федерации сроком 2 года.

    На основании ч.3 ст. 73 УК РФ наказание в виде лишения свободы считать условным с испытательным сроком 3 года.

В соответствии с ч.5 ст.73 УК РФ на Гагиеву Олесю Сергеевну возложить обязанности: в течение 10 дней с момента вступления приговора в законную силу встать на учет в специализированном государственном органе, осуществляющего контроль за поведением условно- осужденной, куда один раз в месяц являться    для регистрации, не менять постоянного места жительства без уведомления специализированного государственного органа, осуществляющего контроль за поведением условно-осужденной.

Меру пресечения в виде подписки о невыезде и надлежащем поведении в отношении Гагиевой Олеси Сергеевны,- отменить по вступлении приговора в законную силу.

Вещественные доказательства: жесткий диск «Samsung» модель <данные изъяты>, оптические диски DVD-R и СD-R, хранящиеся при уголовном деле, -хранить там же по вступлении приговора в законную силу; монитор марки АСЕR с инвентарным номером <данные изъяты>, переданный на ответственное хранение в Приморский филиал ПАО «Ростелеком»,- оставить им же по принадлежности, по вступлении приговора в законную силу.

Приговор может быть обжалован в апелляционном порядке в Приморский краевой суд через Ленинский районный суд г. Владивостока в течение 10 суток со дня провозглашения.

В случае подачи апелляционной жалобы, осужденная вправе участвовать в рассмотрении уголовного дела судом апелляционной инстанции.

Приговор, постановленный в соответствии со ст. 316 УПК РФ, не может быть обжалован в апелляционном порядке по основанию, предусмотренному п.1 ст.389.15 УПК РФ- несоответствие выводов суда, изложенных в приговоре, фактическим обстоятельствам уголовного дела, установленным судом первой инстанции.

    Судья Ленинского районного суда

    г.Владивостока                                                                               И.В. Пасешнюк



* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

8 комментариев:

  1. Что-то недопонял... Какой вред был нанесен ОБЪЕКТУ КИИ? КА не было, структура не нарушена... Получила доступ к ПД, так чего не пишут про 152ФЗ?
    зы: Можно ли сформулировать вопрос так (Раз пишут про КИИ) - "Какой пункт 187ФЗ требует уголовного преследования за копирование ПД?"

    ОтветитьУдалить
  2. в ст.274.1 УК РФ не упоминаются объекты КИИ. Определение "вред КИИ" отсутствует. Как хочет суд - так и трактует.

    ОтветитьУдалить
  3. КА аналогично не упомянута в ст.274.1 УК РФ. Уголовное наказание не связано с 187-ФЗ напрямую, на ваш вопрос "Какой пункт 187ФЗ требует уголовного преследования за копирование ПД?" ответа не существует.

    ОтветитьУдалить
  4. ПДн упомянут в приговоре, так как для квалификации преступления требуется неправомерное копирование информации, охраняемой законом. ПДн охраняет 152-ФЗ.

    ОтветитьУдалить
  5. Всю ночь не выходило это дело из головы ) с утра перечитал... возникли вопросы к правосудию, может поясните...
    1) Подсудимой работодатель предоставил логин и пароль для работы в БД - как они могут обвинять после этого ее в неправомерном доступе? М.б. доступ с неправомерными целями, но...
    2) Не указана выгода которую получила подсудимая... а это повод в правовом государстве для освобождения... 3) Ее похоже склонили к сделке с правосудием, а ведь по тексту обвинения (намешали аж жуть)ее можно обвинять в покушении на конституционный строй.
    4) перечитал статью 274.1 УК РФ. пункт 4 регламентирует только нарушение с использованием служебного положения, а основные нарушения идут пп.1-3, я так и не понял какой она нарушила... ведь основное нарушение требует использование ПО "которые заведомо предназначены для неправомерного воздействия на", а этого небыло. Доступ предоставил работодатель. Я могу допустить что ей дали поручение произвести выборку в пределах своей компетенции и результат отправить по указанному адресу (такое часто происходит на моей практике не с ПДн), но убедительных доказательств ее вины нет, как-то все топорно...

    ОтветитьУдалить
    Ответы
    1. 1. неправомерный = без согласия владельца

      Удалить
    2. 2. вопрос не понял. Причем здесь выгода для преступника?

      Удалить
    3. 4. Вменили использование служебного положения. Основной состав преступления - неправомерный доступ к охраняемой информации. Обязательное использование преступником специального вредоносного ПО для квалификации ч.2 ст.274.1 УК РФ не требуется.

      Удалить