Статья 274.1 Уголовного кодекса РФ («Неправомерное воздействие на критическую информационную инфраструктуру РФ») стала настоящим дамокловым мечом для IT-специалистов и руководителей предприятий. В отличие от большинства «компьютерных» статей, она карает не только хакеров, но и сотрудников самих субъектов КИИ за нарушение правил эксплуатации систем. Уголовная ответственность КИИ — это реальная угроза лишения свободы на срок до 10 лет, если халатность или ошибка персонала привела к инциденту с тяжкими последствиями.
Специфика ст. 274.1 УК РФ в том, что она содержит формальные составы (где важен сам факт действия) и материальные составы (где важен ущерб). Часть 3 этой статьи направлена именно на инсайдеров: сотрудников, которые имеют легальный доступ к системе, но нарушают регламенты. Не установил обновление? Отключил логирование? Передал пароль коллеге? Если после этого произошел взлом и остановилось производство, следователь придет к вам.
Субъекты преступления: кто под ударом?
К ответственности могут быть привлечены вменяемые физические лица, достигшие 16 лет.
На практике фигурантами дел становятся:
- Руководители организаций. Если они не создали систему защиты, не выделили бюджет или не назначили ответственных. Их бездействие квалифицируется как нарушение правил эксплуатации.
- Руководители служб ИБ и IT (CISO, CIO). Ответственные за соблюдение регламентов и контроль подчиненных.
- Системные администраторы и операторы. Лица, непосредственно работающие с системой и допустившие техническую ошибку или нарушение инструкции.
Состав преступления: за что сажают?
Статья 274.1 УК РФ включает несколько частей:
- Создание/распространение вредоносного ПО для воздействия на КИИ. Это касается разработчиков вирусов.
- Неправомерный доступ к информации в КИИ, повлекший вред. Это про хакеров и инсайдеров, превысивших полномочия.
- Нарушение правил эксплуатации средств хранения, обработки или передачи информации, а также правил доступа, если это повлекло вред КИИ. Это самая опасная часть для сотрудников. Вред может выражаться в уничтожении данных, блокировке работы системы, нарушении технологического процесса.
Если деяния повлекли тяжкие последствия (крупный ущерб, авария, смерть человека), наказание ужесточается (ч. 4 и 5) — до 10 лет тюрьмы.
Как защититься от уголовного преследования?
Лучшая защита — это доказанная добросовестность и соблюдение процедур.
Чтобы минимизировать риски, необходимо:
- Документировать всё. Каждое действие администратора должно быть регламентировано инструкцией. Каждый инструктаж — под роспись.
- Разграничивать ответственность. Должностные инструкции должны четко определять, кто за что отвечает. Размытая ответственность — путь к тому, что отвечать будет директор.
- Фиксировать отказ в ресурсах. Если CISO писал служебные записки о необходимости обновления защиты, а директор отказал — это доказательство невиновности CISO (и вины директора).
- Проводить аудиты. Независимое подтверждение соответствия системы требованиям закона помогает доказать отсутствие умысла и халатности.
Уголовная ответственность КИИ — это не теория. Количество приговоров растет. Мы помогаем компаниям выстроить систему защиты так, чтобы в случае инцидента следствие видело в вас пострадавшую сторону, а не преступников.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов