Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации

Новая редакция Ст. 274 УК РФ

1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, —

наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, —

наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.

Статья 274 УК РФ

В этой норме устанавливается ответственность для субъектов, нарушающих порядок эксплуатации средств для обработки, хранения, перенаправления охраняемых компьютерных данных, информационно-коммуникационных сетей, оконечного оборудования, порядка доступа к ним, повлекшее блокирование, уничтожение, модификацию, копирование сведений и причинившее существенный ущерб. За указанные деяния виновному вменяется:

1. Штраф до 500 тыс. руб. или в сумме его доходов за 1,5 г.
2. Исправительные работы, длительностью 6 мес. – 1 год.
3. Ограничение свободы.
4. Принудительные работы.
5. Тюремное заключение.

Продолжительность последних трех наказаний — 2 года. В случае если указанные выше деяния повлекли тяжелые последствия либо создали опасность их наступления, виновный приговаривается к принудительным работам на период до 5 лет или к тюремному заключению на аналогичный срок.

Всё об уголовных делах

Перейти к Уголовному кодексу

Url Дополнительная информация:

Часть
I
(2 — 5 лет)

— ч.1 274.1 УК

воздействие на критическую информационную инфраструктуру РФ

Часть
II
(2 — 6 лет)

— ч.2 274.1 УК

доступ к информации в информационной инфраструктуре РФ

Часть
III
(до 6 лет)

— ч.3 274.1 УК

нарушение правил эксплуатации информационной инфраструктуры

Часть
IV
(3 — 8 лет)

— ч.4 274.1 УК

группой лиц по предварительному сговору

Часть
V
(5 — 10 лет)

— ч.5 274.1 УК

повлекшее тяжкие последствия

ПЛЕНУМ Верховного суда

— п.20

Пленума № 48 использование вредоносных программ при мошенничестве

Статья 274.1 УК. Неправомерное воздействие на критическую информационную инфраструктуру РФ

1) Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру РФ, в том числе:

— для уничтожения,

— блокирования,

— модификации,

— копирования информации, содержащейся в ней,

— или нейтрализации средств защиты указанной информации,

наказывается:

2) Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру РФ, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре РФ,

наказывается:

3) Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре РФ, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре РФ,

наказывается:

4) Деяния, предусмотренные ч.1

,
ч.2
,
ч.3настоящей статьи, совершенные:
— группой лиц по предварительному сговору,

— или
организованной группой,
Url Дополнительная информация:

МЕТОДИЧЕСКИЕ рекомендации Генеральной прокуратуры

— Методические рекомендации

: что понимать под служебным положением

— или лицом с использованием своего служебного положения,

наказываются:

5) Деяния, предусмотренные ч.1

,
ч.2
,
ч.3
,
ч.4 настоящей статьи, если они повлекли тяжкие последствия,
наказываются:

Вернуться к Уголовному кодексу
Обратиться за консультацией

Статья 274 УК РФ: комментарии

В качестве ключевого объекта посягательства выступают общественные отношения, связанные с обеспечением безопасности использования ПК, сетей (систем) ЭВМ. Соответственно, предмет преступления – оборудование, используемое для хранения, передачи, обработки компьютерной информации. Состав деяния имеет материальную конструкцию. При оценке деяния используются критерии, которые устанавливает статья 272, 274 УК РФ. В первой норме, в частности, определяются последствия уничтожения, блокирования, модификации информации.

Виды требований

Правила по эксплуатации оборудования, за нарушение которых статья 274 УК РФ формулирует наказание, могут содержать предписания технического характера или положения, регламентирующие работу с различными системными продуктами. К первым, например, можно отнести требования к влажности, напряжению, электромагнитному полю и так далее. Вторыми являются положения о последовательности подачи команд/выполнения операций, запрете на осуществление тех или иных процедур, контроле совместимости разных программных продуктов, обязательном выполнении тех или иных действий при наступлении конкретных обстоятельств и проч. Кроме этого, правила могут содержать описание мероприятий организационного характера. Например, это могут быть операции по резервному копированию сведений, требования использовать бесперебойный источник питания. Предписания о соблюдении этих положений зависят от специфики работы конкретного предприятия.

Нюансы

Преступление, наказание за которое устанавливает статья 274 УК РФ, признается завершенным в момент модификации, блокирования, уничтожения компьютерных данных в таком количестве, в котором их отсутствие причиняет значительный вред пользователю или обладателю данных. Существенность в данном случае выступает как оценочное понятие. Объем вреда, причиненного преступлением при нарушении правил эксплуатации оборудования, будет определяться по совокупности всех имеющихся в распоряжении суда данных. В части второй статья 274 УК РФ предусматривает наказания за деяния, вызвавшие тяжкие последствия. Их перечень в законе не раскрывается. Однако на практике применяются положения о последствиях, установленные в 273-й статье.

Что ожидать от судебной практики по статье 274.1 УК РФ

Прогнозировать судебную практику — занятие неблагодарное, но иногда это удается с высокой степенью уверенности в результате. Субъекта КИИ в первую очередь интересует, кто и в каком случае может быть привлечен к ответственности по ч. 3-5 статьи 274.1 УК РФ («Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации»). Для события преступления по этим составам требуется два фактора: должен быть причинен вред КИИ и причиной этого вреда должно являться невыполнение виновником правил эксплуатации «средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ

«. КИИ определена в ФЗ-187 как совокупность объектов критической информационной инфраструктуры и сетей электросвязи, используемых для организации взаимодействия таких объектов. Соответственно, причинение вреда любому объекту КИИ будет причинением вреда КИИ в целом.

Рассматриваемую предметную область можно охарактеризовать так:

• Есть объекты, инциденты с которыми могут привести к резонансным последствиям (могут погибнуть люди, остановиться производство, наступить экологические последствия и т.п.)
• Есть правила эксплуатации этих объектов, эти правила кто-то может умышленно или по незнанию нарушить, и это нарушение может стать причиной такого инцидента. При этом непонятно, о каких правилах идет речь в статье.
• Виновником нарушения может стать только вполне конкретной лицо — следствие должно установить и доказать, что бездействие этого лица или определенные действия этого лица стали причиной инцидента и причиненного им вреда. Соответственно, непонятно, кто может быть признан таким виновником в случае реального инцидента.

Статистически значимой судебной практики по применению этой статьи нет и в ближайшее время не предвидится. Но есть статья 274 УК РФ («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»), которая на первый взгляд полностью аналогична и по которой судебная практика есть. Вот что говорится о ней в методических рекомендациях Генеральной Прокуратуры РФ:

• «Предметом данного преступления являются средства хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационные сети и оконечное оборудование.»
  Тут все понятно: для события преступления требуется, чтобы вред был причинен воздействием на техническую составляющую объекта.
• «Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации.»
  Т.е. не существует абстрактных, по умолчанию всем известных правил — нарушить можно только требования конкретных документов.
• «Эти правила должны устанавливаться правомочным лицом.»
  Тут тоже понятно: никто не обязан выполнять предписания лица, которое никто такими полномочиями не наделял. В зачет идут только требования, установленные уполномоченным лицом.
• «Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь, а также доказано, что наступившие последствия являются результатом нарушения правил эксплуатации… Правила, о которых идет речь в ст. 274 УК РФ, должны быть направлены только на обеспечение информационной безопасности.»
  . Очевидно.
• «Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах.»
  Т.е. нарушением правил эксплуатации считается нарушение вообще любых обязательных к исполнению требований, в каких бы документах и нормативных актах они ни содержались.

Последний пункт хочу отметить особо: часто приходится слышать мнение, что под правилами эксплуатации понимаются только внутренние нормативные акты организации, которой принадлежит информационная система — дескать, только владелец информационной системы может устанавливать правила ее эксплуатации. Это не соответствует процитированной выше позиции Генпрокуратуры, которая явно называет одним из источников правил эксплуатации государственные стандарты — уж они-то никак не являются внутренними нормативными актами организации. Такая ошибка в трактовке обусловлена двумя факторами

Пересказывая чужое мнение, люди склонны опускать или искажать незначительные, по их мнению, подробности. Так, в учебных пособиях понятие «правила эксплуатации» пересказывается более простым языком и, к примеру, студентам Университета прокуратуры РФ преподносятся так:

Данные правила должны быть установлены уполномоченным лицом и приняты в надлежащем порядке, например утверждены письменным приказом, с которым исполнители должны быть ознакомлены под роспись. Кроме того, правила эксплуатации могут не только устанавливаться управомоченным лицом, но и определяться техническими описаниями и инструкциями, передаваемыми работодателем работнику, а также пользователю от производителя при приобретении соответствующего устройства или программного обеспечения, либо правилами доступа к информационно-телекоммуникационным сетям в определенных случаях.

Как видим, смысл разъяснений Генпрокуратуры тут сохранен, но из примеров исчезли ГОСТы и иные официальные документы, остались только внутренние нормативные документы, с которыми ознакомливается пользователь или работник. Неудивительно, что в дальнейшем выпускники не обращаются к первоисточникам, а пересказывают единожды выученный материал.

Второй фактор — ничтожно малое количество случаев применения статьи 274 УК РФ: по данным Судебного департамента при ВС РФ, за 2017-2018 годы всеми судами РФ вынесено 2 (прописью «Два») приговора, причем в обоих случаях эта статья являлась дополнительной к основному деянию. По другим источникам (спасибо Валерию Комарову), в 2010-2017 годах правоохранительными органами было возбуждено всего 21 уголовное дело с квалификацией деяния по этой статье. Поэтому, говоря о судебной практике по нарушениям правил эксплуатации, мы имеем дело со статистически ничтожной выборкой, в которую попали, в основном, преступления против коммерческих компаний, возбужденные по заявлению их владельцев. Для квалификации деяния было достаточно того, что нарушены внутренние правила потерпевших.

В КИИ, применительно к значимым объектам, мы имеем принципиально иную ситуацию: есть ряд правовых норм, которые определяют обязанности субъекта КИИ в ходе эксплуатации значимого объекта КИИ — см. например, раздел 13 приказа ФСТЭК №239. Возникает вопрос: что будет, если причиной резонансного инцидента на значимом объекте КИИ станет игнорирование требований регулятора?

Судебная практика по статье 274 УК РФ нам тут не помощник, но есть другая предметная область, обладающая точно такими же характеристиками — пожарная безопасность:

• Есть объекты, пожары на которых могут привести к резонансным последствиям (могут погибнуть люди, остановиться производство, наступить экологические последствия и т.п.)
• Есть правила пожарной безопасности этих объектов, эти правила кто-то может умышленно или по незнанию нарушить, и это нарушение может стать причиной такого инцидента. При этом точно так же непонятно, о каких правилах идет речь в статье.
• Виновником нарушения может стать только вполне конкретной лицо — следствие должно установить и доказать, что бездействие этого лица или определенные действия этого лица стали причиной инцидента и причиненного им вреда. Соответственно непонятно, кто может быть признан таким виновником в случае реального инцидента.

В обзоре судебной практики мы видим, что Пленум ВС РФ трактует понятие «правила пожарной безопасности» точно так же, как Генпрокуратура — понятие «правила эксплуатации»:

Как известно, диспозиция этой статьи является бланкетной. Законодатель не раскрывает в ней понятия «правил пожарной безопасности» и отсылает нас к нормам специального законодательства. При этом в Федеральном законе «О пожарной безопасности» один из видов нормативных документов в этой области называется «правилами пожарной безопасности». В то же время этим Федеральным законом отнесены к нормативным документам по пожарной безопасности стандарты, нормы, инструкции и иные документы, нарушение которых при наступлении указанных в диспозиции ст. 219 УК РФ последствий влечет уголовную ответственность.

Как видим, в обеих предметных областях под «правилами» судебная система РФ понимает совокупность всех норм, устанавливающих обязанности субъекта в данной предметной области, независимо от того, каким именно документом эти обязанности установлены. Значит, стоит ожидать, что и при применении статьи 274.1 УК РФ судебная система будет относить к правилам эксплуатации также и нормативные требования ФСБ и ФСТЭК, определяющие обязанности субъекта КИИ в ходе эксплуатации объекта КИИ.

Говоря проще, если п. 13.2 и 13.3 приказа ФСТЭК №239 требуют от субъекта КИИ проводить периодический анализ уязвимостей и выполнять управление обновлениями, то невыполнение этих требований в случае успешной атаки на объект КИИ вируса-шифровальщика станет самостоятельным уголовным преступлением, ответственность за которое лежит на субъекте КИИ. И тут возникает интересный вопрос: кто именно эту ответственность понесет?

И тут опять на помощь приходит судебная практика по делам о пожарной безопасности. Вот один из характерных примеров. Организация арендовала дебаркадер и оборудовала на нем общежитие. Был назначен ответственный за пожарную безопасность, но фактически требования пожарной безопасности не выполнялись или выполнялись не в полном объеме (в приговоре перечислены только нарушения). Случился пожар, погиб человек. Суд постановил:

• Несмотря на то, что приказом директора был назначен ответственный за пожарную безопасность, именно директор «не обеспечил обучение ответственных работников пожарно-техническому минимуму в объеме знаний требований нормативных правовых актов, регламентирующих пожарную безопасность, в части противопожарного режима, а также приемов и действий при возникновении пожара в организации, позволяющих выработать практические навыки по предупреждению пожара, спасению жизни, здоровья людей и имущества при пожаре, не проводил у работников проверку знаний требований пожарной безопасности»
  .
• Именно директор «не обеспечил исправное состояние знаков пожарной безопасности, в том числе обозначающих пути эвакуации и эвакуационные выходы, вследствие чего эвакуационное освещение не включалось автоматически при прекращении электропитания рабочего освещения
  «
• По вине именно директора «здание надстройки дебаркадера, являясь объектом общественного назначения не было оборудовано автоматической установкой пожарной сигнализации с установкой в помещениях дымовых извещателей
  » и т.п.

Суд постановил, что все перечисленные в приговоре нарушения были совершены именно директором, осознанно, ради экономии, с пониманием возможнх последствий. Директор был признан виновным, и то, что он отделался условным сроком, который был с него снят в связи с амнистией — совсем другая история.

Подобная практика вполне применима и к значимым объектам КИИ. Если атака на объект КИИ приведет к резонансным последствиям, кто-то должен стать крайним. Следуя логике, которой руководствовался суд при вынесении рассмотренного выше приговора, персонал, ответственный за обеспечение безопасности, пожарная она или информационная, несет ответственность только за выполнение тех обязанностей, которые явно установлены для него внешними или внутренними нормативными актами. Если руководитель организации не назначил ответственных, не определил их обязанности или не обеспечил возможность исполнения ими этих обязанностей (не организовал обучение, не выделил бюджет и т.п.), то ответственность за последствия несет он сам.

Это не единственный подобный приговор, просто он первым попался в поисковой выдаче. Не факт, что следствие и суды всегда будут придерживаться этой логики. Но этот пример показывает, что в случаях, когда речь идет о гибели людей или других столь же резонансных последствиях, руководитель организации часто отвечает за последствия солидарно с ответственными работниками, а в некоторых случаях и единолично.

Субъективная часть

Привлечь к ответственности за рассматриваемое преступление можно любого вменяемого гражданина 16-летнего возраста. При этом он должен иметь доступ к ПК, системе (сети) ЭВМ. В последних двух случаях субъект преступления специальный, наделенный соответствующими должностными полномочиями. Привлечение лица к ответственности осуществляется не только на основании самого факта наличия у него доступа к ПК, сетям или системе ЭВМ. Немаловажное значение при квалификации имеет прохождение им ознакомления с правилами либо инструктажа по эксплуатации оборудования. Данный факт должен быть задокументирован. Между последствиями и действиями субъекта должна присутствовать связь. Деяния, ответственность за которые фиксируется в ч. 1 ст. 274, относят к категории небольшой, а в части второй – средней тяжести.

Комментарий к Статье 274 УК РФ

1. Основной объект преступного посягательства — общественные отношения, обеспечивающие безопасность эксплуатации ЭВМ, системы ЭВМ или их сети.

2. Предметом посягательства являются ЭВМ, система ЭВМ или их сеть.

3. Объективная сторона составов преступления состоит в нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети, повлекшем уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред (ч. 1) или тяжкие последствия (ч. 2).

4. По законодательной конструкции состав преступления является материальным.

5. Об уничтожении, блокировании и модификации компьютерной информации см. п. 5.5 — 5.7 коммент. к ст. 272.

6. Нарушение правил эксплуатации может выражаться в несоблюдении, ненадлежащем соблюдении или прямом нарушении правил, обеспечивающих сохранность информации и целостность (работоспособность) компьютерного оборудования. Нарушение правил может быть совершено как действием, так и бездействием (невыполнение виновным требований, закрепленных в правилах).

7. Комментируемая статья не содержит конкретных технических требований к эксплуатации ЭВМ и отсылает к инструкциям и правилам, определяющим порядок работы на компьютерах. Правила должны устанавливаться специально уполномоченным лицом или органом и доводиться до пользователей, к которым и применяется УО за нарушение или несоблюдение этих правил в соответствии со ст. 274.

7.1. Под сетью понимается только внутренняя сеть ведомства или организации, на которую могут распространяться требования правил и инструкций. Комментируемая статья распространяется только на преступления, совершаемые в локальных сетях. В глобальных сетях типа Интернет она не применяется.

7.2. Можно выделить два вида правил эксплуатации ЭВМ, которыми должны руководствоваться в своей деятельности лица, работающие с ЭВМ, системой ЭВМ или их сетью. Первый вид правил — инструкции по работе с ЭВМ и машинными носителями информации, разработанные изготовителем ЭВМ и периферийных технических устройств, которые поставляются вместе с ЭВМ. Эти правила обязательны для соблюдения пользователем ЭВМ под угрозой, как правило, потери прав на гарантийный ремонт и обслуживание. Второй вид правил — правила, установленные собственником или законным пользователем информационных ресурсов, информационных систем, технологий и средств их обеспечения. Они определяют порядок пользования ЭВМ, системой ЭВМ и сетью ЭВМ, а также иными машинными носителями <1>. ——————————— <1> См.: Крылов В. Криминалистические проблемы оценки преступлений в сфере компьютерной информации // Уголовное право. 1998. N 3. С. 88.

7.3. Правила могут быть установлены как компетентными органами, так и изготовителями ЭВМ или разработчиками программного обеспечения, а также собственником либо законным пользователем ЭВМ, системы ЭВМ или их сети.

7.4. Ответственность за нарушение правил может наступать только в том случае, если эти правила были приняты надлежащим образом (разработаны специалистами и подписаны руководителем учреждения, подразделения и т.п.), закреплены (как правило, на бумажном носителе) и доведены до пользователя (чаще под роспись).

7.5. Правила могут содержаться в: нормативно-правовых актах; ведомственных положениях; правилах, установленных в конкретных организациях; технических описаниях и инструкциях по эксплуатации; инструкциях по использованию программ для ЭВМ (соответствующие инструкции могут прилагаться как на бумажных, так и на машинных носителях) и др.

7.6. В правилах эксплуатации ЭВМ могут быть установлены как требования технического характера (напряжение, влажность, механическое и химическое воздействие, совместимость устройств, электромагнитное поле и т.п.), так и положения, регулирующие работу с программными продуктами (последовательность подачи команд или выполнения процедур, запрет на выполнение каких-либо операций с программным обеспечением, контроль за совместимостью различных программных продуктов, обязательное выполнение определенных процедур при наступлении определенных обстоятельств и т.д.). А такие мероприятия, как резервное копирование информации, использование источника бесперебойного питания, следует отнести к организационным требованиям безопасности компьютерной информации, так как требования выполнять эти правила зависят от особенностей деятельности той или иной организации.

8. Преступление (ч. 1) окончено (составом) в момент уничтожения, блокирования или модификации такого количества информации или такой информации, отсутствие которой причинило существенный вред для законного пользователя или владельца информации.

8.1. Существенность вреда является оценочной категорией, и установление объема причиненного вреда в результате нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети будет осуществляться судом с учетом совокупности имеющихся данных.

9. Субъективная сторона составов преступления выражается в форме умысла или неосторожности. В квалифицированном составе возможно наличие двух форм вины.

10. В ч. 2 коммент. статьи установлена ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети, причинившее тяжкие последствия по неосторожности.

10.1. Перечень тяжких последствий, так же как и существенный вред, не раскрывается в законе. Однако к ним следует относить последствия, указанные в коммент. к ст. 273.

11. Между нарушением правил эксплуатации ЭВМ, системы ЭВМ или их сети и указанными в диспозиции последствиями должна быть причинно-следственная связь: уничтожение, блокирование или модификация компьютерной информации должны быть следствием нарушения правил эксплуатации ЭВМ, а они, в свою очередь, должны быть причиной наступления существенного вреда или тяжких последствий.

12. Субъектом преступного посягательства является физическое вменяемое лицо, достигшее 16-летнего возраста и имеющее доступ к ЭВМ, системе ЭВМ или их сети (специальный субъект).

13. Для привлечения лица к УО необходимо установить не только факт наличия у виновного доступа к ЭВМ, системе ЭВМ или их сети, но и факт (задокументированный) прохождения этим лицом инструктажа или ознакомления с правилами эксплуатации ЭВМ, системы ЭВМ или их сети.

14. Деяния, описанные в ч. 1, относятся к категории преступлений небольшой тяжести, в ч. 2 — средней тяжести.