Статья 274.1 Уголовного кодекса РФ стала одним из самых серьезных инструментов государственного принуждения в сфере цифровой безопасности. Если раньше за сбои в работе IT-систем сотрудников могли лишь лишить премии, то теперь нарушение правил эксплуатации критической информационной инфраструктуры (КИИ) грозит реальным лишением свободы на срок до 10 лет. Субъектами ответственности становятся не только хакеры, но и штатные специалисты — системные администраторы, инженеры АСУ ТП, руководители служб ИБ и даже генеральные директора, допустившие халатность в организации защиты.
Нарушение правил эксплуатации КИИ — это неисполнение или ненадлежащее исполнение требований по обеспечению безопасности значимых объектов, установленных приказами ФСТЭК и внутренними регламентами организации. Состав преступления по ч. 3 ст. 274.1 УК РФ образуется, если нарушение правил доступа или эксплуатации средств хранения, обработки и передачи информации повлекло причинение вреда КИИ. Это значит, что любая техническая ошибка (необновленный патч, слабый пароль, открытый порт), ставшая причиной инцидента, может привести сотрудника на скамью подсудимых.
Объективная сторона: что считается нарушением?
Следственная практика показывает, что под «нарушением правил» правоохранительные органы понимают широкий спектр действий и бездействий:
- Игнорирование обновлений. Эксплуатация ПО с известными уязвимостями при наличии выпущенных патчей безопасности.
- Нарушение парольной политики. Использование дефолтных паролей, передача учетных данных третьим лицам, отсутствие двухфакторной аутентификации там, где она обязательна.
- Изменение конфигурации. Самовольное отключение средств защиты (антивирусов, межсетевых экранов) для повышения производительности системы.
- Использование несертифицированных средств. Подключение личных устройств (BYOD) к защищенному контуру КИИ или использование пиратского софта.
Субъект преступления: кто виноват?
К ответственности привлекаются лица, на которых возложены обязанности по соблюдению правил.
Это могут быть:
- Технические специалисты. Системные администраторы, операторы АРМ, инженеры, которые непосредственно работают с системой.
- Руководители среднего звена. Начальники отделов ИТ и ИБ, ответственные за контроль и организацию работы.
- Топ-менеджмент. Руководители предприятия, если будет доказано, что они не выделили ресурсы на создание системы защиты или не утвердили необходимые документы (бездействие).
Линия защиты и минимизация рисков
Чтобы защитить сотрудников и руководство от уголовного преследования, необходимо выстроить четкую систему документального подтверждения добросовестности.
Наши рекомендации:
- Должностные инструкции. Четкое разграничение зон ответственности. Каждый сотрудник должен под роспись знать, за какой участок КИИ он отвечает.
- Регламентация. Разработка детальных инструкций администраторов и пользователей. Нарушить можно только то правило, которое официально утверждено и доведено до сведения.
- Служебные записки. Если специалист видит уязвимость, но не имеет ресурсов для ее устранения, он должен письменно уведомить руководство. Это снимает с него ответственность.
- Аудит и тренировки. Регулярные учения по кибербезопасности и независимые аудиты подтверждают, что организация предпринимала меры по защите.
Нарушение правил эксплуатации КИИ — это преступление с материальным составом. Для квалификации необходимо наступление вреда. Мы помогаем доказать отсутствие причинно-следственной связи между действиями сотрудника и наступившим ущербом, привлекая технических экспертов для анализа инцидента.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов