Ural Law Institute of the Ministry of Internal Affairs of Russia (Department of Criminal Law, Prepodavatel' kafedry)
Yekaterinburg, Ekaterinburg, Russian Federation
UDK 343.23 Преступления в целом
Introduction: the author presents results of his study of the attribute “threats to critical information infrastructure of Russia”. Materials and Methods: universal and specific scientific research methods constituted the methodological basis for the study. As well as legal method which included certain processing and analysis of the criminal law and criminal cases initiated under Article 2741 of the Criminal Code of the Russian Federation. The Criminal Code of the Russian Federation, provisions of Resolution of the Plenum of the Supreme Court of the Russian Federation No. 37 of 15.12.2022, criminal cases initiated under Article 2741 for 2020 – 2023, as well as Russian scientific literature on the subject were research materials. Literature Review: theoretical basis for the study were works by Russian penal scientists such as: M.A. Efremova, E.A. Russkevich, S.S. Shakhrai, E.A. Solovieva, A.Yu. Reshetnikov, and I.I. Malygin. Results: basing on the legal framework and scientific literature the author concludes that the attribute “threats to critical information infrastructure of Russia” is not fully evolved. During the study of forensic materials, the author concludes that courts use various methods to describe the attribute. However, at the end of the study he finds that the attribute is almost identical in essence. Discussion and Conclusions: based on the law on telecommunication, information and critical information infrastructure of the Russian Federation, current case law, the author concludes that the threat is determined as computer information security breach.
critical information infrastructure of the Russian Federation; damage to CII of the Russian Federation; objects of CII of the Russian Federation; violation of the security of computer information contained in the CII of the Russian Federation
Введение
Информационное общество предполагает активное использование критической информационной инфраструктуры Российской Федерации (далее – КИИ РФ) в таких ключевых сферах государственной деятельности, как здравоохранение, связь, банковская и иная финансовая деятельность и т.п. Поэтому, по мнению Е.А. Соловьевой, обеспечение устойчивого и бесперебойного функционирования КИИ РФ в мирное время, в период непосредственной агрессии и в военное время определены доктриной информационной безопасности, утвержденной указом Президента РФ от 5 декабря 2016 № 6461, как национальный интерес в информационной сфере [1].
Уголовно-правовая охрана объектов КИИ Российской Федерации является приоритетной задачей государства и регулируется в том числе ст. 2741 УК РФ, которой уголовный закон дополнен еще в 2018 году2.
Конструкцию ст. 2741 УК РФ следует считать сложной, поскольку ее части включают самостоятельные и не связанные между собой составы преступлений.
Тем не менее ч. 2 и 3 ст. 2741 УК РФ объединяет наличие общественно-опасных последствий – «причинение вреда критической информационной инфраструктуре Российской Федерации».
В частности, ч. 2 ст. 2741 УК РФ предусматривает ответственность за неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ РФ в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на КИИ РФ, или иных вредоносных компьютерных программ, если он повлек причинение вреда КИИ РФ.
В свою очередь, ч. 3 ст. 2741 УК РФ предусматривает ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой законом компьютерной информации, содержащейся в КИИ РФ, или информационных систем (далее – ИС), информационно-телекоммуникационных сетей (далее – ИТКС), автоматизированных систем управления (далее – АСУ ТП), сетей электросвязи, относящихся к КИИ РФ, либо правил доступа к указанной информации, ИС, ИТКС, АСУ ТП, если оно повлекло причинение вреда КИИ РФ3.
Материалы и методы
Эмпирическую основу исследования составили опубликованные данные судебной статистики и судебных решений, материалы 48 уголовных дел (на момент исследования), возбужденных по ч.2 и ч.3 ст. 2741 УК РФ в различных регионах Российской Федерации, а также отечественное законодательство и труды отечественных ученых. Методологическую основу исследования составили общенаучные и частнонаучные методы познания действительности.
Обзор литературы
Исследованию вопросов уголовно-правовой охраны компьютерной информации посвящены научные труды С.С. Шахрая [2], И.И. Малыгина [3], А.В. Суслопарова [4], М.А. Ефремовой [5], В.Г. Степанова-Егиянца [6].
Помимо этого, изучению обозначенных явлений посвящены труды Е.А. Соловьевой [1], И.А. Яковенко [7], Е.А. Русскевича [8], А.В. Пелевиной [9], Р.И. Дремлюги [10], С.Д. Бражника [11] и др.
Результаты исследования
Исходя из смысла диспозиций ч. 2 и ч. 3 ст. 2741 УК РФ, указанные составы преступлений являются материальными, т.е. считаются оконченными с момента причинения вреда КИИ РФ.
Отметим, что правомерность доступа к компьютерной информации определяется наличием у лица права проникновения в источник информации4.
Конструкция ч. 3 ст. 2741 УК РФ является более сложной. Ч. 3 ст. 2741 УК РФ содержит в диспозиции: «Нарушение правил эксплуатации средств хранения, обработки или передачи информации, находящейся на объектах КИИ РФ, … либо правил доступа к указанной информации, информационным системам…». Разделительный союз «либо» в контексте ч. 3 ст. 2741 УК РФ означает, что диспозиция содержит в себе два альтернативных варианта действия.
Отметим, что «эксплуатация компьютерной системы» представляет собой ее активное использование с целью достижения определенного результата. В широком смысле эксплуатация средств обработки, хранения и передачи компьютерной информации (информационной системы) включает:
- системное и техническое сопровождение аппаратного обеспечения информационной системы (в том числе модернизацию и сервисное обслуживание информационной системы);
- организацию рабочего процесса.
Доступ к информационной системе подразумевает возможность проникновения в источник информации с целью ознакомления с ней.
По нашему мнению, неправомерный доступ предполагает проникновение в источник информации без правовых оснований для такого доступа. В свою очередь, нарушение правил доступа означает несоблюдение установленных правовых предписаний лицом, которое обязано их соблюдать. В связи с этим полагаем, указанные понятия необходимо разделять.
Предметом преступления, предусмотренного ст. 2741 УК РФ, является содержащаяся в информационных системах КИИ РФ, охраняемая законом компьютерная информация.
Критическая информационная инфраструктура представляет собой объекты критической информационной инфраструктуры5.
Объектами КИИ РФ являются ИС, ИТКС, АСУ ТП субъектов КИИ РФ6.
Субъектами КИИ РФ признаются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или ином законном основании принадлежат ИС, ИТКС, АСУ ТП, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных объектов7.
В свою очередь, по смыслу ч. 2 и 3 ст. 2741 УК РФ в качестве общественно-опасных последствий определено причинение вреда КИИ РФ. Однако содержание вреда, причиняемого КИИ РФ, законодательно не закреплено, как и не определено в постановлении Пленума Верховного Суда Российской Федерации от 15.12.2022 № 37 «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть «Интернет»8.
В данном случае нельзя не согласиться с мнением И.И. Малыгина, который указывает, что «указание на причинение вреда как на обязательное общественно опасное последствие совершенного деяния, является ахиллесовой пятой уголовно-правовой нормы об ответственности за неправомерное воздействие на объекты КИИ России» [12].
Тем не менее в научных кругах предпринимаются попытки раскрыть содержание такого вреда, в частности И.И. Малыгиным. По мнению Е.А. Соловьевой, под вредом, причиняемым КИИ РФ, следует понимать любые неблагоприятные изменения в охраняемой законом КИИ РФ, которые могут выражаться как в материальном, так и нематериальном плане, виновно вызванные неправомерным воздействием и причинно связанные с ним [1].
С мнением Е.А. Соловьевой в целом можно согласиться. Действительно, в содержание вреда можно включать материальные или нематериальные неблагоприятные изменения в информационных системах КИИ РФ, однако указанное автором понятие «любые неблагоприятные последствия» довольно широкое и может включать достаточно большое количество аспектов. В связи с этим обратимся к мнению И.И. Малыгина.
Так, И.И. Малыгин применительно к ст. 2741 УК РФ полагает, что под вредом следует понимать:
1. Нарушение функционирования объекта критической информационной инфраструктуры (в том числе функционирования сети электросвязи, используемой для организации взаимодействия таких объектов).
2. Прекращение функционирования объекта критической информационной инфраструктуры (в том числе прекращение функционирования сети электросвязи, используемой для организации взаимодействия таких объектов).
3. Нарушение безопасности обрабатываемой таким объектом информации [12].
Полагаем, третий пункт указанного мнения для выполнения цели настоящего исследования в целом подходит, но отметим, что в данном случае И.И. Малыгин говорил именно о вреде для целей всей ст. 2741 УК РФ, а не об отдельных ее составах.
Решетников А.Ю. полагает, что неправомерный доступ к компьютерной информации в информационной системе объектов КИИ РФ и дальнейшее манипулирование ею (копирование, уничтожение, блокирование, модифицирование) нарушает целостность этой информационной системы, в результате чего циркулирующие в системе сведения теряют объективность, достоверность и актуальность, так называемую триаду информации [13].
Указанные позиции И.И. Малыгина и А.Ю. Решетникова представляются нам заслуживающими внимания, поскольку они наиболее точно описывают признак «вред критической информационной инфраструктуре Российской Федерации».
Обратимся к материалам судебной практики и определим, какие негативные последствия суды вкладывают в содержание признака «вред».
Так, например, гражданин Р., находясь на рабочем месте, с использованием автоматизированного устройства, действуя из корыстных побуждений, используя свое служебное положение, совершил неправомерный доступ к компьютерной информации, содержащейся в КИИ РФ, повлекший ее модификацию, а именно – внесение в Единую государственную информационную систему в сфере здравоохранения недостоверных сведений о вакцинации против новой коронавирусной инфекции (COVID-19) лицам, не прошедшим процедуру вакцинации9.
В своем решении суд отметил, что гражданин Р. указанными действиями нарушил требования ст. 23 Конституции Российской Федерации, ч. 1, ч. 2 ст. 5 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ10, п. 7, п. 8 ст. 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ11, Временные правила учета информации в целях предотвращения распространения новой коронавирусной инфекции (COVID-19), утвержденные постановлением Правительства Российской Федерации от 31.03.2020 № 37312, и причинил вред объекту КИИ РФ, выраженный в потере компьютерной информации объективности, достоверности и актуальности.
Альтернативным примером может послужить приговор Курганского городского суда Курганской области от 14.03.2023 по делу № 1-143/2023, в котором указано, что гражданин С., будучи сотрудником салона сотовой связи ПАО «ВымпелКом», нарушил правила доступа к охраняемой законом компьютерной информации, содержащейся в КИИ РФ, неправомерно скопировав детализацию о сообщениях и соединениях абонентов ПАО «ВымпелКом» и передав ее за денежное вознаграждение третьим лицам13.
При схожих обстоятельствах суды определяют содержание вреда как: нарушения состояния защищенности такой системы14, нарушения безопасности конфиденциальности информации, содержащейся в КИИ РФ15, 16, несоответствие сведений, содержащихся в компьютерной системе критериям оценки – объективности, достоверности, и актуальности17, нарушение целостности и достоверности информации, циркулирующей в базе данных18.
На основании изложенного мы пришли к выводу, что суды определяют содержание вреда КИИ РФ как нарушение состояния защищенности компьютерной информации, содержащейся в КИИ РФ.
Однако следующий приговор содержит указание и на причинение вреда КИИ РФ в виде нарушения безопасности компьютерной информации и причинения репутационного вреда субъекту КИИ РФ, который выразился в дискредитации деятельности компании по хранению и обработке информации, составляющей охраняемую законом тайну частной жизни и тайну телефонных переговоров19.
С выводом суда, касающегося деловой репутации, мы вынуждены не согласиться, поскольку вред деловой репутации субъекта КИИ РФ не является вредом КИИ РФ в целом.
Согласно п. 6 ст. 2 ФЗ № 187, критической информационной инфраструктурой являются объекты КИИ РФ (ИС, ИТКС, АСУ ТП), а также сети электросвязи, используемые для организации взаимодействия таких объектов20.
Как следует из Федерального закона, субъект КИИ РФ не относится к содержанию КИИ РФ. Таким образом, по нашему мнению, вред деловой репутации, причиненный субъекту КИИ РФ, не является вредом, причиненным КИИ РФ.
На данном этапе ограничимся примерами судебной практики из сферы связи и здравоохранения и для наглядности исследования перейдем к примерам из судебной практики в банковской сфере.
Так, гражданин А., будучи сотрудником АО «Почтабанк», сформировал заявку на открытие сберегательного счета и выпуск пластиковой банковской карты на имя гражданина О. без согласия последнего, чем осуществил неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в КИИ РФ, а именно к компьютерной программе Siebel. (Данная компьютерная программа, согласно решению ФСТЭК, относится к объектам КИИ РФ)21.
Суд определил, что своими действиями гражданин А. причинил вред КИИ РФ, выразившийся в модификации информации в указанной базе данных, внесении в нее недостоверной информации, что нарушило целостность указанной информационной системы, в результате чего информация, содержащаяся в ней, перестала соответствовать критериям оценки – объективности, достоверности и актуальности, тем самым причинив репутационный вред объекту КИИ РФ.
По нашему мнению, указанное в приговоре суда содержание признака «вред критической информационной инфраструктуре» довольно объемное и сложное, поскольку идет указание сразу на несколько критериев: нарушение целостности системы, несоответствие компьютерной информации критериям оценки, репутационный вред КИИ РФ. Но, скорее, здесь одно закономерно вытекает из другого. По сути, в данном приговоре речь идет о нарушении состояния защищенности такой информации.
Как мы упоминали ранее, в случае с приговором Хасавюртского районного суда Республики Дагестан от 01.03.2023 по делу № 1-49/2023 вред деловой репутации, или репутационный вред, не может включаться в содержание признака «вред КИИ РФ», поскольку такой вред причиняется субъекту КИИ РФ, т.е. ее законному владельцу. Мы уже отмечали, субъект КИИ РФ не относится к содержанию КИИ РФ в целом, а, следовательно, вред, причиненный субъекту КИИ РФ, не будет являться вредом, причиненным объекту КИИ РФ. Таким образом, с решением суда о репутационном вреде мы также вынуждены не согласиться.
При схожих обстоятельствах Куйбышевский районный суд г. Омска в приговоре от 31.07.2023 по делу 1-58/2023 (1-465/2022) определил, что вред объекту КИИ РФ выразился во внесении в систему недостоверных сведений, что нарушило ее целостность, а информация, в ней содержащаяся, перестала соответствовать критериям оценки – объективности, достоверности и актуальности22.
Обсуждение и заключение
Таким образом, содержание признака «вред критической информационной инфраструктуре Российской Федерации» может выражаться в нарушении:
- безопасности конфиденциальности компьютерной информации, принадлежащей и охраняемой субъектом КИИ РФ23, 24;
- целостности компьютерной системы КИИ РФ25, 26, 27.
- состояния защищенности КИИ РФ28, 29.
- безопасности обрабатываемой компьютерной информации30, 31.
По существу, правоприменитель, используя вышеуказанные фразы, констатирует факт нарушения безопасности охраняемой законом компьютерной информации.
Таким образом, под вредом критической информационной инфраструктуре Российской Федерации предлагается понимать нарушение безопасности компьютерной информации, содержащейся в КИИ РФ.
Под безопасностью компьютерной информации предлагается понимать такое состояние ее защищенности, при котором ее свойства (объективность, достоверность, актуальность) устойчивы перед внешними и внутренними угрозами.
По нашему мнению, существующее постановление Пленума Верховного Суда Российской Федерации от 15.12.2022 № 37 нуждается в уточнении содержания признака «вред критической информационной инфраструктуре».
1. Solov'eva E.A. Vred kak kriminoobrazuyushchij priznak v sostavah prestuplenij, predusmotrennyh chastyami 2 i 3 stat'i 2741 UK RF // Permskij yuridicheskij al'manah. 2023. № 6. S. 553 – 569.
2. SHahraj S.S. Sistema prestuplenij v sfere komp'yuternoj informacii: sravnitel'no-pravovoj, sociologo-kriminologicheskij i ugolovno-pravovoj aspekty: dis. … kand. yurid. nauk: 12.00.08 – Ugolovnoe pravo i kriminologiya; ugolovno-ispolnitel'noe pravo. Moskva, 2010. 214 s.
3. Malygin I.I. Ugolovnaya otvetstvennost' za nepravomernoe vozdejstvie na kriticheskuyu informacionnuyu infrastrukturu Rossijskoj Federacii: monografiya. 2023. 164 s.
4. Susloparov A.V. Komp'yuternye prestupleniya kak raznovidnost' prestuplenij informacionnogo haraktera: dis. … kand. yurid. nauk: 12.00.08 – Ugolovnoe pravo i kriminologiya; ugolovno-ispolnitel'noe pravo. Vladivostok, 2010. 214 s.
5. Efremova M.A. Ugolovno-pravovaya ohrana informacionnoj bezopasnosti: dis. … d-ra yurid. nauk: 12.00.08 – Ugolovnoe pravo i kriminologiya; ugolovno-ispolnitel'noe pravo. Moskva, 2018. 428 s.
6. Stepanov-Eginyac V.G. Metodologicheskoe i zakonodatel'noe obespechenie bezopasnosti komp'yuternoj informacii v Rossijskoj Federacii (Ugolovno-pravovoj aspekt): dis. … d-ra yurid. nauk: 12.00.08. – Ugolovnoe pravo i kriminologiya; ugolovno-ispolnitel'noe pravo. Moskva, 2016. 389 s.
7. YAkovenko I.A. Ob"ektivnye priznaki komp'yuternyh prestuplenij kak raznovidnosti prestuplenij informacionnogo haraktera // E–scio. 2021 № 2 (53). S. 389 – 395.
8. Russkevich E.A. Differenciaciya otvetstvennosti za prestupleniya, sovershaemye s ispol'zovaniem informacionno-kommunikacionnyh tekhnologij, i problemy ih kvalifikacii: dis. … d-ra yurid. nauk: 12.00.08 – Ugolovnoe pravo i kriminologiya; ugolovno-ispolnitel'noe pravo. Moskva, 2021. 521 s.
9. Pelevina A.V. Obshchaya harakteristika prestuplenij v sfere komp'yuternoj informacii // Probely v rossijskom zakonodatel'stve. 2015. № 4. S. 209 – 211.
10. Dremlyuga R.I. Kriticheskaya informacionnaya infrastruktura kak predmet prestupnogo posyagatel'stva // Aziatsko-Tihookeanskij region: ekonomika, politika, pravo. 2019. № 2. S. 130 – 139.
11. Brazhnik S.D., Pilyasov I.A. Tekhniko-yuridicheskij analiz normy o nepravomernom vozdejstvii na kriticheskuyu informacionnuyu infrastrukturu Rossijskoj Federacii (274.1 UK RF). EDN MPSAAU // Evrazijskoe Nauchnoe Ob"edinenie. 2019. № 8-3. S. 198-201.
12. Malygin I.I. Ugolovno-pravovoe protivodejstvie nepravomernomu vozdejstviyu na kriticheskuyu informacionnuyu infrastrukturu: dis. … kand. yurid. nauk: 5.1.4 – Ugolovno-pravovye nauki. Moskva, 2023. 192 s.
13. Reshetnikov A.YU. Ob ugolovnoj otvetstvennosti za nepravomernoe vozdejstvie na kriticheskuyu informacionnuyu infrastrukturu Rossijskoj Federacii // ZAKONY ROSSII: OPYT, ANALIZ, PRAKTIKA. 2018. № 2. S. 51-55.