Непреднамеренные взломы
Депутаты уточнили ответственность за кибератаки на критическую инфраструктуру
Законопроекты о разделении ответственности за киберинциденты в критической информационной инфраструктуре приняты Госдумой в первом чтении. За технические ошибки и нарушения правил эксплуатации, не приведшие к уничтожению или утечке данных, грозят только административные штрафы. Уголовная ответственность может сохраниться за доказанное нанесение ущерба компании. Эксперты при этом указывают, что возможность избежать уголовного преследования через штраф может негативно повлиять на инвестиции бизнеса в кибербезопасность.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
Госдума в первом чтении 27 января приняла два законопроекта, которые меняют систему ответственности за инциденты в сфере критической информационной инфраструктуры (КИИ: банки, промышленность и т. д.). В частности, первым документом вносятся поправки к ст. 274 УК РФ, второй предлагает новую статью КоАП. Инициативы, внесенные еще в ноябре депутатами от «Единой России» (см. “Ъ” от 19 ноября 2025 года), устанавливают двухуровневую систему ответственности: уголовная статья будет грозить за доказанное уничтожение, блокирование, модификацию или копирование данных КИИ, а за нарушения правил эксплуатации без таких последствий вводится административная ответственность. Штрафы для граждан составят 5–10 тыс. руб., для должностных лиц — 10–50 тыс. руб., для компаний — 100–500 тыс. руб. Сотрудник, допустивший нарушение, но активно помогавший следствию и сохранивший доказательства, может быть полностью освобожден от уголовной ответственности за это нарушение.
Депутат Анатолий Выборный, один из соавторов законопроекта, ранее объяснял “Ъ”, что цель поправок — «защитить рядовых специалистов от уголовного преследования за технические ошибки». «Для сохранения инцидента в административной плоскости компании необходимо документально подтвердить отсутствие воздействия на информацию»,— говорит партнер юридической группы «Яковлев и партнеры» Антон Чуреков. Он отмечает, что на практике любой серьезный инцидент, как правило, привлекает внимание правоохранительных органов, которые «заинтересованы в поиске признаков преступления, поскольку возбуждение уголовного дела предоставляет существенно более широкий инструментарий процессуального воздействия (проведение обысков, назначение экспертиз и т. д.— “Ъ”)».
Существование двухуровневой системы может создать риск подмены системных проблем персональными ошибками. По словам консультанта департамента консалтинга и аудита компании «Информзащита» Антона Еременко, системные проблемы очень легко начать подменять персональными ошибками. Положение о добровольном сотрудничестве, в свою очередь, создает конфликт интересов, так как сотрудник, стремящийся минимизировать личные риски, может пойти на сотрудничество со следствием в ущерб интересам компании, которая предпочитает внутреннее разбирательство. «В целом введение рассматриваемой нормы может негативно сказаться на корпоративной культуре ИБ, поскольку сотрудники будут опасаться сообщать о проблемах внутри организации»,— считает господин Чуреков.
«В реальной жизни компаниям действительно будет проще оформить нарушение правил эксплуатации, заплатить штраф и снять вопрос об уголовном деле»,— считает руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин. Однако такая тактика, считает он, не решает системных проблем безопасности. «Условная DLP-система со стоимостью внедрения в 3–5 млн руб., а также стоимость сопровождения выглядит как неоправданное расходование средств при штрафе в 500 тыс., который можно списать на операционный риск»,— отмечает господин Еременко. По его мнению, проблема в том, что штраф — не альтернатива защите, так как повторный инцидент может повлечь уже уголовную ответственность.