Уголовный код доступа

В Госдуму внесен законопроект, ужесточающий ответственность за кибератаки на объекты критической информационной инфраструктуры (КИИ). Инициатива призвана закрыть правовые пробелы в соответствующей статье Уголовного кодекса. По мнению авторов поправок к УК РФ, это позволит эффективнее привлекать к ответственности хакеров, блокирующих работу важных госресурсов. Параллельно вводится дифференциация ответственности. Отдельные споры среди экспертов вызвала норма об освобождении от ответственности IT-специалистов, способствовавших раскрытию инцидента, которую Верховный суд счел юридически некорректной.

Выйти из полноэкранного режима

Развернуть на весь экран

Госдума рассмотрит законопроект, ужесточающий ответственность за кибератаки на объекты КИИ. Документ был внесен 18 ноября депутатами Петром Толстым, Анатолием Выборным и Виктор Селиверстовым и направлен на закрытие правовых пробелов в статье 274.1 УК РФ, посвященной «нарушению правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей». Ключевое изменение: замена формулировки «причинение вреда» на конкретный перечень последствий — уничтожение, блокирование, модификацию или копирование данных.

«Изменения являются прямым ответом на рост кибератак на объекты КИИ и направлены на ужесточение ответственности хакеров, а также устранение выявленных правовых пробелов»,— говорит “Ъ” Анатолий Выборный. По его словам, суды часто сводят понятие «вреда» от кибератак на КИИ только к копированию или изменению данных. В результате блокирование хакером работы сайта, например социального госучреждения, могло остаться вне уголовной ответственности.

В законопроекте предлагается разделить ответственность за правонарушения «для адекватного правового реагирования». Уголовная ответственность будет применяться к «штатным специалистам КИИ» за серьезные нарушение правил. Административная ответственность — к рядовым пользователям, чьи действия влекут за собой незначительный ущерб. «Это гарантирует, что под уголовную ответственность не попадет, например, врач, вовремя не сменивший пароль. Технические нарушения не связаны напрямую с его должностными обязанностями по защите КИИ»,— объяснил господин Выборный.

Отдельным пунктом законопроекта от ответственности предложено полностью освободить лиц, обеспечивающих эксплуатацию и функционирование объектов КИИ. Потенциально послабление в части освобождения от уголовной ответственности может помочь субъектам КИИ в поиске специалистов на должность ответственных за ИБ, потому как сейчас с учетом напряженной геополитической обстановки и рисков далеко не все специалисты готовы брать на себя такую ответственность, объясняет замдиректора департамента проектирования компании «Информзащита» Никита Наговицын.

Параллельно в УК может появиться и «амнистия» для IT-специалистов, нарушивших правила эксплуатации, но способствовавших раскрытию инцидента. Однако, как следует из отзыва на проект от Верховного суда РФ, формулировка «лицо активно способствовало раскрытию и (или) расследованию» является «не вполне корректной». «Верховный суд РФ справедливо отметил, что активное способствование раскрытию преступления может в том числе выражаться в сохранении следов преступления»,— добавляет руководитель группы публичных споров и защиты бизнеса ЮФ VEGAS LEX Станислав Матюшов. Господин Выборный пояснил “Ъ”, что более конкретно все формулировки и мнение экспертов будут обсуждаться при подготовке ко второму чтению.

Положения об освобождении от наказания главный юрист продуктовой группы «Контур.Эгида» Ольга Попова сравнивает с деятельным раскаянием по ст. 75 УК РФ, когда правонарушители помогают раскрывать преступления. «Данное изменение дает возможность специалистам ИБ избежать уголовной ответственности при условии активного содействия следствию»,— добавила она. Фактически законопроект переводит работу с КИИ в категорию деятельности с высокой юридической ответственностью, считает руководитель центра компетенций по консалтингу ИБ «Софтлайн Решения» (ГК Softline) Юлия Смолина. В этой связи, по ее мнению, ИБ-специалистам придется еще строже придерживаться регламентов, фиксировать каждое действие и полностью исключить любые обходные маневры, даже если они кажутся безобидными. «То, что раньше могло закончиться выговором, сейчас может перерасти в уголовную историю»,— добавила она.

Филипп Крупанин