В этом году количество уголовных дел, связанных с воздействием на критическую IT-инфраструктуру (КИИ) госорганов, банков, транспорта и других критически важных объектов, выросло втрое по сравнению с 2020 годом. Судебные дела касаются в том числе незаконного использования программ на объектах КИИ или продажи данных сотрудниками операторов связи. Закон о неправомерном воздействии на такую инфраструктуру вступил в силу в 2018 году и начал полноценно действовать только сейчас, полагают эксперты.
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
За девять месяцев 2021 года количество уголовных дел, связанных с неправомерным воздействием на критическую информационную инфраструктуру, выросло втрое по сравнению с 2020 годом — с 22 до 70. Об этом сказано в исследовании (есть у “Ъ”) судебной практики по преступлениям, связанным с неправомерным воздействием на КИИ на основе статистики МВД и данных ГАС «Правосудие», проведенном экспертами компании InfoWatch.
Объекты критической информационной инфраструктуры — это значимые для экономики и безопасности государства IT-сети. К ним относятся сети госорганов, банков, объектов транспорта, связи, здравоохранения, предприятий оборонной, топливной, атомной промышленности и энергетики.
Около половины судебных дел касаются использования компьютерных программ, заведомо предназначенных для неправомерного использования на КИИ. Например, по одному из дел работники локомотивных бригад РЖД воспользовались нештатным ПО, чтобы пройти тест на знание техническо-распорядительных актов железнодорожных станций.
Существенная часть разбирательств касается исков операторов связи к своим сотрудникам: в 75% случаев речь идет об утечках персональных данных пользователей, выяснили в InfoWatch.
Например, менеджеры по продажам при смене работы незаконно копируют базу данных текущего работодателя или для повышения плана заключают фиктивные договоры на услуги связи без согласия пользователей. Нередки случаи продаж данных абонентов третьим лицам: согласно судебным документам, они продавались по 10–15 человек. В 2021 году средняя стоимость данных клиентов банков, операторов мобильной связи и госорганов в теневом рунете составила почти 18 тыс. руб., что вдвое выше, чем годом ранее, сообщал “Ъ” 30 ноября.
Самой строгой мерой наказания за атаки на КИИ в 2019–2020 годах стал условный срок три года и штраф 70 тыс. руб. В 2021 году одно из дел закончилось ограничением свободы на год: сотрудник Пермского порохового завода скачал нелицензионную версию Microsoft Word, и генератор ключа для нее установил канал обмена информацией с IP-адресом, «принадлежащим США», куда были отправлены данные с компьютера осужденного.
Закон о неправомерном воздействии на КИИ вступил в силу в 2018 году, затем под него разрабатывалась нормативно-правовая база, определялось, что относится к объектам КИИ, поэтому только в 2021 году закон стал работать в полную силу, отмечает директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович. С каждым новым делом следственные органы нарабатывают опыт и совершенствуют методику расследования, что позволяет действовать быстрее и эффективнее, добавляет член комиссии московского отделения Ассоциации юристов России Ефим Казанцев.
В России государство только начинает осознавать всю важность проблемы, тогда как в США сумма возмещения или штрафа зависит от нанесенного ущерба, отметил вице-президент Ассоциации российских детективов, управляющий партнер Intrace Александр Айвазов.
По его мнению, с начала пандемии многие компании перешли на технологии, позволяющие работать удаленно, но не все обеспечили безопасность IT-инфраструктуры. Эту задачу должны реализовывать специалисты по информационной безопасности, которых сейчас на рынке крайне мало, добавил он.