ГосСОПКА уже на пороге.

 

5 июля прошло второе чтение законопроекта. Появилась новая редакция, включая и взаимодействие с ГосСОПКА. 6 июля принято Госдумой в третьем чтении. Остался Совет Федерации и Президент.

Связисты из Твери по ст.274.1 УК РФ

 

Тверские связисты смогли удивить в очередном "конвеерном" уголовном деле по ст.274.1 УК РФ.

Поднять две уголовные статья за 42 800 рублей. А какие споров о том, кто кого втянул в преступную деятельность... 

Совкомбанк дошел Верховного суда

 

  Как и прогнозировалось, история получила продолжение. И теперь мы имеем уникальный случай сразу по двум причинам:

1. Первый и единственный договор за вред КИИ в банковской сфере.

2. Первый приговор за вред КИИ дошедший до Верховного суда, правда пока только республиканского. Причем обжалует пострадавшая сторона - банк. А не государственное обвинение или преступник.

Ждем продолжения от банкиров, пойдут ли они в Верховный суд РФ?

Ранее  - https://valerykomarov.blogspot.com/2021/09/blog-post_27.html

и https://valerykomarov.blogspot.com/2022/06/2741.html

Вот и у банкиров прецедент привлечения работника по ст.274.1 УК РФ.

 

     Ранее я уже касался крайне запутанной истории с компьютерным преступлением в Совкомбанке - https://valerykomarov.blogspot.com/2021/09/blog-post_27.html. К сожалению, никаких упоминаний на реагирование ФСТЭК или НКЦКИ о факту компьютерного инцидента с объектом КИИ не появилось. Вопросы 2021 года остались без ответа... 

      Это просто эпично: "В день увольнения Т. с работы, ему закрыли доступ к рабочему чату, при этом оставив доступ к клиентской базе банка. Далее, в течение нескольких недель, Т. пытался довести до сведения службы безопасности банка, что ему доступ к клиентской базе банка открыт и просил закрыть его. На его просьбы сотрудники банка не среагировали, предлагая ему обратиться в разные службы банка. Также, он писал письма в банк по данному вопросу, звонил на горячую линию банка, но положительного для себя результата не добился."

   А у банка все хорошо, внутренняя проверка показала причину - техническая ошибка. Нет виноватых.  И вообще все действия службы безопасности начались только после размещения объявления о продаже базы клиентов, а не по факту неправомерного скачивания на неизвестный компьютер.

    Более того - "После проведения экспертизы, в июле 2020 года ноутбук «Самсунг» ему был передан на ответственное хранение, до принятия судом окончательного решения в отношении него. Он проверил ноутбук и обнаружил на нем находящуюся там ранее похищенную им клиентскую базу ПАО «Совкомбанк», выгруженную им из реестра Банка."

   Интересно почему в материалах дела появились показания работника банка, ответственного за взаимодействие с правоохранительными органами,  - "Т.. он никогда не просил, чтобы он выставлял объявление о продаже базы ПАО «Совкомбанк», так как указанные действия противоречат политике безопасности банка и являются незаконными."? 

    Как думаете, получила ли эта история продолжение или банк удовлетворился вынесенным обвинительным приговором по ст.274.1 УК РФ?

P.S. Кто-нибудь понял из материалов приговора в чем заключался вред КИИ, нанесенный неправомерным доступом преступником?

Суд разобрался в порядке категорирования ОКИИ

 

   Свершилось. Мы дождались ситуации, когда обвиняемый не согласился с тем, что он своими действиями нанес вред КИИ. Настаивает, что совершил обычное компьютерное преступление по ст.272 УК РФ, а не по тяжкой ст.274.1 УК РФ. Пришлось областному суду разбираться в вопросах категорирования объектов КИИ.

  Данное дело будет иметь очень далеко идущие последствия для всей страны. Остается только пожелать стороне защиты продолжать обжалование и дойти до Верховного суда РФ, больно уж моменты принципиальные  решаются.

Пределы действия нормы, предусмотренной ст. 272 УК РФ

 

  Довольно неожиданно, что авторами выступили представители научной школы МВД России.

   На мой взгляд, такой подход к квалификации преступления более важен по другой статье – за вред КИИ (Ст.274.1 УК РФ). Поскольку действия преступников, при внесение сведений о «левой» вакцинации, простановки «галочек» в информационных системах операторов связи и т.д, по своей сути ничем не отличаются при разных способах обработки информации. Что раньше медработники вносили в бумажные медкарты недействительные отметки о прохождении прививок, что сейчас ставят такие же отметки в электронном виде. Просто изменилась форма обработки информации, как пишут авторы статьи - «Однако получается, что признание действий человека преступными и их квалификация зависят от того, в какой форме - электронной или бумажной - существует информация, чего быть не должно». Собственно, на примере массового привлечения медработников за «левую» вакцинацию мы и видим существенное разнообразие применяемых статей УК РФ. По работникам операторов связи ситуация аналогичная.

   Специально уточняю, обсуждаемая позиция не призывает к освобождению от уголовной ответственности за совершенные преступления, а касается только исключения избыточной квалификации таких преступлений как компьютерных. Дополнительно это позволит снизить негативное отношение работников на внедрение новых цифровых технологий в рабочие процессы и будет способствовать «цифровизации» народного хозяйства.

   Например, работники судебной системы предлагают «возможность освобождения лиц, которые не имеют достаточного опыта и знаний в сфере компьютерных технологий, от последствий допускаемых ошибок», что позволит вовлечь больше лиц в электронный документооборот. (Бикмиев Р.Г., Бурганов Р.С. Популяризация и стимулирование информатизации судебного делопроизводства // Администратор суда. 2022. N 1. С. 16 - 20.)

Сфера безопасности дорожного движения это сфера транспорта? Видимо нет.

 

Получается, что ФИС ГИБДД-М это не объект КИИ, а ГИБДД не субъект КИИ. Явно прописана ГИС и ИСПДн, но не КИИ.

«ФИС ГИБДД-М состоит из подсистем: «транспортные средства», «водительские удостоверения», «получение и предоставление сведений» и «административные правонарушения» со сведениями о совершенных административных правонарушениях, административных наказаниях и лицах, совершивших административные правонарушения; ФИС ГИБДД-М является информационной системой класса защищенности К1, обеспечивающий 2 уровень защищенности обрабатываемых персональных данных».

Просто беда с этой ГосСОПКА

 

   История с законопроектом по изменению 152-ФЗ  https://valerykomarov.blogspot.com/2022/04/blog-post_26.html продолжается. Сначала прошло 19.05.22 заседание комитета комитета ГД, на котором заслушали представителей общественности и 24.05.22 законопроект был принят ГосДумой в первом чтении.

Не сменил во время пароль - получи ст.274 УК РФ.

 

   Статья-прародительница для субъектов КИИ, то есть ст.274 УК РФ, начинает все активнее применятся. Конечно, до молодой звезду УК РФ - ст.274.1 УК РФ, ей еще далеко. Но, если сравнить частоту применения ч.1 ст.274 и ч.3 ст.274.1 УК РФ, то позиции примерно равны.

Калужская ОПГ по "пробиву абонентов". Часть 2.

  

   В первой части мы рассмотрели преступные дела директора магазина - https://valerykomarov.blogspot.com/2022/05/1.html

  Из материалов второй части увидим как ее вовлекли в преступную деятельность - ".. была директором их офиса, она не стала скрывать от неё о том, что занимается противоправной деятельностью и получает за это оплату, рассказала ей об этом примерно через неделю после начала её деятельности. .. сначала промолчала, потом стала её расспрашивать о подробностях деятельности и об оплате, после этого .. по своей инициативе предложила свое участие, поскольку хотела заработать «лёгких денег» перед Новым Годом. В дальнейшем .. также занималась данной деятельностью с «Informaxi». .. использовала для этого мобильный телефон .. марки «Honor». Данный телефон они просто оставляли в офисе, он был их «рабочим» телефоном. Никакой договорённости с .. о том, как делить деньги у них не было, каждый получал оплату за свою работу, также было известно, что с её аккаунта переписка ведется в том числе ... «Informaxi» знал, кто в какую смену работает.

Как же выглядела деятельность низового работника офиса сотового оператора?

Калужская ОПГ по "пробиву абонентов". Часть 1.

 

  Цикл заметок про преступную жизнь одного регионального магазина оператора связи. Формально преступникам не предъявлено обвинение в создании ОПГ, все ограничилось использованием служебного положения. Но материалы дела показывают четкую структуру по вовлечению в преступную деятельность новых работников оператора связи, поддержание в работоспособности "сервиса пробива", предоставление технических средств, инструкции и т.д. Главный организатор так и не установлен, а жаль. 

  Для субъектов КИИ самым важным нюансом становится формирование судебной практики, по которой к вреду КИИ относят сам факт запроса информации в ОКИИ в нарушении инструкции пользователя. "внесены недостоверные сведения об обращении абонентов за данной информацией в ПАО «ВымпелКом», которые записались в «лог-файлы» учетной записи Шегай Т.Ю., хранящихся в информационно-биллинговой системе ПАО «ВымпелКом» - «Amdocs Ensemble», в результате чего данные сведения перестали соответствовать критериям оценки — объективности, достоверности и актуальности.". То есть, работника можно привлекать к уголовной ответственности за любую самодеятельно проставленную"галочку" в интерфейсе рабочей программы пользователя ОКИИ, вне звисимости от дальнейших последствий. Можно даже не доказывать последующую передачу информации об абоненте заказчику пробива.

ГосСОПКА v3.0

  

  Первомай 2022 года ознаменовался выходом Указа Президента РФ от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", который сразу вызвал бурное обсуждение на всех медийных площадках. Чем же документ привлек такое внимание?

Наказание работников оператора связи Владимирской области

 

  Уже стандартное уголовное дело по работникам операторов связи. Приговор свежий, начало 2022 года. Но по преступлениям, совершенным в 2020 году. Очень подробное. Множество мелких деталей, которые навевают грусть и тоску.

Как вот спрятаться от них?.. Видно, так уж суждено, Ты их в дверь,-- они в окно...ГосСОПКА снова на пороге.

  В декабре 2020 года была предпринята первая охватить ГосСОПКА все организации страны без исключения. Писал про это - здесь. Тогда мы этого избежали, но недавно последовала очередная и более жесткая по своим требованиям. И так, апрельская версия 2022 года "О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных"

Корректировка применения порядка аттестации от ФСТЭК

  Порядок аттестации действует уже полгода, пришло время ФСТЭК уточнить применение приказа 77 на местах. Информационное сообщение более направлено на лицензиатов ТЗКИ ФСТЭК с видом работы по аттестации, чем на владельцев объектов информатизации.

  Учитывая последние требования законодательства по письменному уведомлению ФСТЭК о каждом изменении состава любого объекта КИИ - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-obnovliaem-svedeniia-ob-okii-61df1d5f40e40b385ffd96c9

 , возникает ощущение что кто то решил повысить востребованность Почты России в стране. Все по старинке, бандеролью носитель электронных документов направлять потребно. С учетом предстоящей переаттестации, вызванной прекращением действия сертификатов СрЗИ и требованиями по обеспечению технологической независимости, почтальонам придется тяжко.

Стандарт на мониторинг информационной безопасности

 

   ГОСТ Р 59547-2021 «Защита информации. Мониторинг информационной безопасности. Общие положения». Начало действия документа -  01.04.2022 г. 

Итоги обсуждения инициативы по расширению административной ответственности субъекта КИИ

 

    Инициатива ФСТЭК (https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-administrativnoe-prinujdenie-usilivaetsia-esce-ne-proshlo-i-61f8e1b5018f8a26d89aaa06) по внесению изменений в КоАП прошла важный этап общественного обсуждения.

  Был в группе "Дом советов" спор бурный на предмет того, а надо ли изменения в составе ОКИИ через заседания комиссии проводить или не надо. Получили позицию ФСТЭК  "20 дней достаточно для подготовки и представления в ФСТЭК России измененных сведений об объектах критической информационной инфраструктуры, комиссия по категорированию в данных процессах не задействована".

   А кто это должен заниматься отслеживанием изменений в составе ОКИИ и готовить сообщения в ФСТЭК? Такое ощущение, что ФСТЭК пишет законопроекты исключительно для ЗОКИИ в которых есть силы безопасности штатные, а потом при утверждении "значимые" пропадают из текста НПА. Как думаете, кто у субъекта с НОКИИ должен заниматься вот этой работой (https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-obnovliaem-svedeniia-ob-okii-61df1d5f40e40b385ffd96c9) на постоянной основе? Кого штрафовать собираются?

Уголовное законодательство и цифровая экономика

    Интересное предложение от авторов из Университета МВД по квалификации распространения вирусов-шифровальщиков WannaCry и Petya как "вымогательство". И вполне традиционное замечание о несовершенстве ст.274.1 УК РФ (КИИ).

Штраф за отсутствие антивируса при обработке ПДн

 

    Свежее и довольно подробное дело об административном правонарушении по ч.6 ст.13.12 КоАП.

   Обращает на себя внимание очень тщательная подкрепление в доказательной базе, ФСБ добросовестно все оформили.

    Интересный вывод в судебном решении: "пп. «г» п. 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 № 1119, п. 4 Состава и содержания, утвержденного приказом ФСТЭК от 18.02.2013 № 21, антивирусное средство должно быть сертифицированным".

    И судя по всему, ВПО "гадило" через всю страну -  из ЕАО в Астраханскую область (ГБУ Астраханской области «Инфраструктурный центр электронного правительства») и сработала СОПКА.

Административка за образец заполнения служебного документа.

 

  Ситуация простая. Проверка ФСБ  в детском саду выявила факт хранения электронного файла на компьютере, имеющем доступ в Интернет, который посчитали электронной копией акта обследования по антитеррора и вменили они штраф по ч.6.ст.13.12 КоАП. А правонарушитель не согласился и оспорил в суде, что это была не копия утвержденных документов, подлежащих защите согласно законодательству, а образец для заполнения, который защите не подлежит.