Инженера российского ВПК посадили за взлом компьютера
Ростовский областной суд вынес обвинительный приговор в отношении бывшего инженера предприятия оборонно-промышленного комплекса (ОПК), взломавшего компьютер по месту своей работы. ИТ-инженер, находясь по месту работы, отключил средство защиты компьютерной информации программно-технического комплекса.
Осужден за ИТ-взлом
Ростовский областной суд оставил без изменения приговор бывшему сотруднику предприятия ОПК Валерию Шабурову, приговоренному к трем годам колонии за неправомерное воздействие на информационную инфраструктуру предприятия. Об этом 5 июня 2024 г. сообщила пресс-служба Управления Федеральной службы безопасности (ФСБ) России по Ростовской области.
По информации ФСБ, инженер одного из донских предприятий ОПК намеревался влезть в базу данных (БД) компании. Находясь на работе, ИТ-инженер нейтрализовал средство защиты компьютерной информации программно-технического комплекса, планируя копировать данные о процессе производства для их последующего изменения.
В отношении Валерия Шабурова было возбуждено уголовное дело по части 4 статьи 274.1 УК РФ («Неправомерное воздействие на критическую информационную инфраструктуру (КИИ) России»).
Каменский районный суд признал Валерия Шабурова виновным в совершении преступления, предусмотренного частью 4 статьи 274.1, а также назначил ему наказание в виде трех лет лишения свободы с отбыванием в исправительной колонии общего режима, с лишением права заниматься деятельностью, связанной с доступом к КИИ России, сроком на два года. Ростовский областной суд в начале июня 2024 г. оставил приговор без изменений.
Критическая информационная инфраструктура
Под критической информационной инфраструктурой подразумевается совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов России и обеспечивающих их взаимодействие информационно-телекоммуникационных сетей, а также ИТ-систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка.
В начале мая 2024 г. Федеральная служба по техническому и экспортному контролю (ФСТЭК) обнародовала методику оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ России. Правила распространяются на госорганы, организации в области связи, энергетики, банковской сферы и предприятия других значимых отраслей экономики.
В документе ФСТЭК говорится о том, что методика определяет показатель, характеризующий текущее состояние технической защиты информации, не составляющей государственную тайну, и (или) обеспечения безопасности значимых объектов КИИ. Оценка должна осуществляться не реже одного раза в шесть месяцев. Внеочередную проверку защищенности организациям необходимо проводить в случае возникновения инцидента информационной безопасности с негативными последствиями или при изменении архитектуры информационных систем. Кроме того, такая проверка может быть инициирована по запросу ФСТЭК.
Исходными данными, необходимыми для оценки показателя защищенности, могут быть: отчеты, протоколы или иные документы, составленные по результатам внутреннего контроля уровня безопасности; результаты проведения инвентаризации информационных систем; внутренние организационно-распорядительные документы, регламентирующие организацию защиты информации; отчеты, составленные по результатам внешней оценки. В ФСТЭК отдельно разъяснили, что могут учитываться результаты опроса работников организации о выполнении ими функций с использованием информационных систем (ИС) и (или) по обеспечению информационной безопасности (ИБ).
Законодательство
В целях формирования нормативной базы в части уголовной ответственности за нарушения закона о КИИ законодатель внес изменения в Уголовный кодекс (УК) России, принятием отдельного Федерального закона N 194-ФЗ от 26.07.2017 «О внесении изменений в отдельные законодательные акты России в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». Статья 274.1. Неправомерное воздействие на КИИ России.
В третьей части говориться о том, что нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ России, или ИС, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к КИИ России, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда КИИ России, - наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
В четвертой части сообщается, что деяния, предусмотренные частью первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения, — наказываются лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Пятая часть гласит, что деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия, наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.