Между халатностью и преступлением
бейсенбі, 25 шілде 2019 ж.
У каждого работника есть должностные обязанности, он расписывается в журналах ознакомления с различными приказами. В том числе с теми, в которых регламентируются правила «эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации». Не стоит относиться к такому ознакомлению и к выполнению должностных инструкция как к ничего не значащей формальности.
Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 19.02.2018)
Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
(ред. от 07.12.2011)
1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок.
Системные администраторы также отвечают и за функционирование соответствующих систем компании. И если эти правила нарушаются (слово «умышленно» в тексте статьи не используется – просим обратить внимание!), то суд может наказать виновника возникшей ситуации, которая создала угрозу наступления тяжких последствий (только угрозу, а не сами последствия!), «принудительными работами на срок до пяти лет либо лишением свободы на тот же срок».
Думаете, мы фантазируем и нагнетаем?
Постановление Лефортовского районного суда г. Москвы от 29.09.2014 г. по делу 1-277/2014
… обвиняется в совершении преступления, предусмотренного ч. 1 ст. 274 УК РФ, а именно в том, что совершил нарушение правил эксплуатации средств хранения и передачи охраняемой компьютерной информации, повлекшее копирование компьютерной информации, причинившее крупный вред.
Обвиняемый, являвшийся системным администратором,
Постановление Лефортовского районного суда г. Москвы от 13.01.2015 г. по делу 1-401/2014
… был ознакомлен с должностной инструкцией № по должности ведущий системный администратор UNIX, согласно которой ведущий системный администратор UNIX поддерживает в рабочем состоянии программное обеспечение рабочих станций с серверов (п. 2.6), обеспечивает своевременное копирование, архивирование и резервирование данных (п. 2.8), обеспечивает сетевую безопасность (п. 2.18), сохраняет конфиденциальность служебной информации (п. 2.26), которое было им изучено и собственноручно подписано.
И наверняка расписался в соответствующих журналах учета. В один прекрасный момент обвиняемый дважды скопировал информацию из базы данных компании на USB-носитель и с умышленным нарушением установленных правил, в том числе о конфиденциальности, передал эту информацию третьему лицу. Компании этими действиями был причинен ущерб, который предъявлен администратору.
- Восстановление доступа к базе данных после смены всех паролей сотрудников, имеющих доступ к VPN-серверам, а также смена паролей в учетных записях серверов и сервисов (общие затраты 388 000 рублей);
- Проведения комплекса мероприятий, направленных на поиск лица (Обвиняемого), которое копировало информацию из базы данных (общие затраты 153 000 рублей);
- Средний простой 115 сотрудников, имеющих доступ к VPN-серверам, из-за необходимости перенастройки VPN-серверов ... суммарно 920 часов на ожидание восстановления доступа к VPN-серверам, которые были оплачены ООО «Приват Трэйд» (общие затраты 414 000 рублей);
- Покупка оборудования для сотрудников, взамен изъятого у Обвиняемого по окончании служебной проверки (общие затраты 45 330 рублей);
- Введение дополнительных средств учета лиц, осуществляющих доступ к базе данных, а также механизмов сохранения информации, направленных на недопущение копирования информации без согласования с руководством ООО «Приват Трэйд» (общие затраты 155 270 рублей).
Таким образом, Обвиняемый нарушил правила эксплуатации средств хранения и передачи охраняемой компьютерной информации, повлекшее копирование компьютерной информации, чем причинил крупный вред ООО «Приват Трэйд» на общую сумму 1 155 600 рублей, то есть обвиняется в совершении преступления, предусмотренного ч.1 ст. 274 УК РФ.
В данном конкретном случае дело прекращено в связи с истечением срока давности (2 года), но формально в случае нарушения правил «эксплуатации средств хранения и передачи охраняемой компьютерной информации» системный администратор однозначно подпадает под ст. 274 УК РФ, и «торговаться» можно только за сумму ущерба – ответственность наступает, только если будет обоснована и доказана сумма причиненного ущерба не менее одного миллиона рублей.
А нарушить правила эксплуатации легче легкого. Вы, скажем, пыль на мониторе когда в последний раз вытирали?
Под такими правилами понимаются, во-первых, гигиенические требования к видеодисплейным терминалам, персональным компьютерам и к организации работы.
Или к соседу подходили поболтать?
Представляется, что пренебрежение организационными мерами защиты компьютерной информации (предоставление посторонним лицам доступа в служебное помещение, несанкционированное разглашение сетевого имени и пароля законного пользователя, уже упомянутое невыполнение процедуры резервного копирования и пр.) также составляют деяния, подпадающие под запрет, установленный диспозицией ст. 274 УК РФ.
Страшно? Это еще цветочки. Ягодки – например, п. 3 ст. 274.1 УК РФ (статья 274.1 введена 26.07.2017 г.) – уголовная ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критически важных объектах:
наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Что еще? Статья может быть применена с 16 лет. Так что юные нарушители вполне могут получить срок.
Очень многие системные администраторы и пользователи легкомысленно относятся к установке пиратского ПО, программ для майнинга и другого опасного софта. По факту максимум что можно получить за заражение сети вследствие нарушения правил компании – увольнение или выговор. Но на практике дело обстоит так только потому, что многие компании не хотят тратить ресурсы на суды. Но многие – не значит все.
Антивирусная правДА! рекомендует
- Если вам дают бумагу на подпись – прочитайте внимательно.
- Прочитали и подписали – выполняйте.
- Если прибегают с требованием нарушить – отправляйте к руководству. Но помните, что выполнение требований руководства, нарушающего закон, – это уже участие в преступной группе. Сидеть, если что, всем виновным.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Неуёмный Обыватель
08:20:13 2019-07-26
Lia00
03:31:00 2019-07-26
sanek-xf
23:47:30 2019-07-25
Natalya_2017
23:41:51 2019-07-25
Альфа
23:06:20 2019-07-25
Любитель пляжного футбола
23:01:40 2019-07-25
@robot, с Днём рождения, железного здоровья и никогда не ржаветь! :)
Lenba
21:54:32 2019-07-25
I46
21:49:34 2019-07-25
marisha-san
21:44:01 2019-07-25
Zserg
21:36:43 2019-07-25
anatol
21:35:43 2019-07-25
I23
21:22:18 2019-07-25
orw_mikle
21:13:14 2019-07-25
Dvakota
20:20:01 2019-07-25
znamy
20:10:48 2019-07-25
Serg07
20:06:20 2019-07-25
Шалтай Александр Болтай
20:03:05 2019-07-25
Татьяна
19:17:26 2019-07-25
Toma
18:18:53 2019-07-25
Toma
18:17:41 2019-07-25
vova616
18:06:36 2019-07-25
DrKV
17:08:16 2019-07-25
admin_29
17:07:38 2019-07-25
Masha
16:47:00 2019-07-25
robot
16:19:54 2019-07-25
dyadya_Sasha
16:13:50 2019-07-25
razgen
15:01:02 2019-07-25
Главное глубоко осмыслить прочитанное, согласны ли вы с этим в полном объёме изложенного, и после этого принимать обдуманное решение.
Dmur
14:39:17 2019-07-25
Dmur
14:38:37 2019-07-25
Oleg
13:36:07 2019-07-25
L1t1um
13:25:36 2019-07-25
EvgenyZ
12:36:59 2019-07-25
Andromeda
12:36:16 2019-07-25
vkor
12:21:31 2019-07-25
Хуже от этого точно не будет.
vinnetou
11:59:18 2019-07-25
maestro431
11:31:54 2019-07-25
Вячeслaв
11:08:43 2019-07-25
Если серьезно. Судебные дела зачастую длятся ну очень долго. Пару дней назад был осужден дроп по факту хищения 2016года. Поэтому и написать надо - ждать два-три года смысла нет и с другой стороны мы не знаем, какое будет решение суда. А за два три года накапливается еще сходных фактов - и уже точно нужно сказать, чем дело кончилось
Денисенко Павел Андреевич
11:04:15 2019-07-25
Александр
11:02:46 2019-07-25
Геральт
10:32:32 2019-07-25
Неуёмный Обыватель
08:18:10 2019-07-25
Неуёмный Обыватель
08:11:27 2019-07-25
Многие выбирают вариант 1.
Vlad X
07:54:05 2019-07-25
похожая была.
tigra
07:36:56 2019-07-25
ka_s
07:33:58 2019-07-25
Пaвeл
07:29:58 2019-07-25
Пaвeл
07:23:58 2019-07-25
Korney
06:28:11 2019-07-25
Любитель пляжного футбола
06:04:52 2019-07-25
Сегодняшняя статья - на 98% копия прошлогодней.
Любитель пляжного футбола
05:57:25 2019-07-25
@admin, по последней приведённой в статье ссылке происходит перенаправление на несуществующую страницу. :)