Опасная профессия. Будни работы в сфере информационных технологий

Сканирование уязвимостей

Сфера деятельности, обязательная по нормативным документам ИБ, активно развивается, профессионально интересная. Основная проблема при уголовном преследовании – хакеры и специалисты ИБ используют одни и те же инструменты, что и порождает высокие риски наступления уголовной ответственности для специалистов ИБ и студентов.

«Установлено, что 01.03.2023 в период с 12:18 часов до 13:17 часов (по Московскому времени) М.С., находясь у себя дома по адресу: <адрес>, действуя умышленно, с целью проверки своих навыков по использованию программного обеспечения, достоверно зная, что ресурс <данные изъяты>, имеющий доменное имя "<данные изъяты>" с IP-адресом N, входит в информационно-телекоммуникационную сеть Университета, то есть относится к объектам критической информационной инфраструктуры, на мобильном телефоне марки "<данные изъяты>" открыл цифровое окно свободно распространяемого в сети "<данные изъяты> «ПО» <данные изъяты>», предназначенного для проведения сетевого аудита безопасности информационных ресурсов, в том числе в открытых телекоммуникационных сетях, ранее установленного на указанный мобильный телефон, и внес в него данные электронного адреса Университета "<данные изъяты>». После чего М.С. запустил указанное программное обеспечение с применением дополнительных скриптов (» <данные изъяты>»), осуществив использование данного программного обеспечения с целью проверки наличия на сайте "<данные изъяты>" уязвимостей.

Согласно заключению специалиста УФСБ России по <адрес> от 19.05.2023 на мобильном телефоне марки "<данные изъяты>" IMEI1: N, обнаружены следы размещения программного обеспечения "<данные изъяты>"; согласно сведениям, представленным в дампе трафика, установлено применение программного обеспечения "<данные изъяты>" для сканирования информационного ресурса "<данные изъяты>" Университета.»

(Приговор от 19.01.2024 по делу №1—21/2024)

С государственного IT особый спрос

Важный момент, состав преступления в форме подлога документов (внесение информации в ГИС), превышении должностных полномочий, нецелевое расходование бюджетных средств, халатности приведены в УК РФ в главе Глава 30. «Преступления против государственной власти, интересов государственной службы и службы в органах местного самоуправления» – это означает, что работники коммерческих организаций не привлекаются по ней.

А вот руководители ИТ-подразделений, цифровой трансформации, защиты информации (информационной безопасности/ безопасности КИИ) и аналогичных должны учитывать высокий риск привлечения к уголовной ответственности именно по этим статьям УК РФ.

Сейчас опишем потенциально опасные ситуации для государственного (бюджетного) ИТ специалиста при выполнении требований информационной безопасности, чтобы остаться в канве повествования о компьютерных преступлениях. То есть, какие обвинения можно получить при выполнении работ по защите информации.

Сначала разберемся кому это угрожает:

«Должностными лицами в статьях настоящей главы признаются лица, постоянно, временно или по специальному полномочию осуществляющие функции представителя власти либо выполняющие организационно-распорядительные, административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных учреждениях, государственных внебюджетных фондах, государственных корпорациях, государственных компаниях, публично-правовых компаниях, на государственных и муниципальных унитарных предприятиях, в хозяйственных обществах, в высшем органе управления которых Российская Федерация, субъект Российской Федерации или муниципальное образование имеет право прямо или косвенно (через подконтрольных им лиц) распоряжаться более чем пятьюдесятью процентами голосов либо в которых Российская Федерация, субъект Российской Федерации или муниципальное образование имеет право назначать (избирать) единоличный исполнительный орган и (или) более пятидесяти процентов состава коллегиального органа управления, в акционерных обществах, в отношении которых используется специальное право на участие Российской Федерации, субъектов Российской Федерации или муниципальных образований в управлении такими акционерными обществами („золотая акция“), а также в Вооруженных Силах Российской Федерации, других войсках и воинских формированиях Российской Федерации.»

Начнем с халатности, как наиболее характерного преступления именно по смыслу нашего исследования – не имел преступных намерений и оказался на скамье подсудимых.

Описание состава преступления «Халатность» очень похоже на «злоупотребление» и «превышение». А главное отличие при квалификации по халатности – небрежность в работе, то есть, халатно – это когда не осторожно.

Самонадеянно рассчитывал на то, что последствия от его действий не наступят либо им или иными лицами последствия будут предотвращены, либо не предвидел последствий, хотя должно было и могло их предвидеть.

Подозреваемый не имел умысла, он не хотел наступления последствий.

А вот превысить или злоупотребить своими полномочиями можно только умышленно и осознанно.

Или, по простому, халатность = и так сойдет! = авось!

Ст.293 УК РФ

«Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение крупного ущерба или существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства

Крупным ущербом в настоящей статье признается ущерб, сумма которого превышает один миллион пятьсот тысяч рублей, а особо крупным – семь миллионов пятьсот тысяч рублей.»

Создал информационную систему и не провел ее аттестацию – наказан.

«З., являясь должностным лицом – руководителем Агентства связи и массовых коммуникаций Астраханской области, на которую в силу должностного регламента возложена персональная ответственность за реализацию программы «Внедрение спутниковых навигационных технологий с использованием системы ФИО9 и других результатов космической деятельности в интересах социально-экономического и инновационного развития Астраханской области в 2012—2016 годах», а также эффективное использование финансовых средств, в период с 18 августа 2011 г. по 31 декабря 2014 г. не проконтролировала деятельность исполнителей государственной программы, ввиду чего не обеспечила реализацию тех мероприятий, которые бы обеспечили возможность использования и эксплуатацию РНИС в соответствии с ее целями и задачами, ввиду чего надлежащим образом права на использование и эксплуатацию РНИС Астраханской области не оформлены, требования о защите информации, включая проведение аттестации РНИС Астраханской области в соответствии с программой и методиками аттестационных испытаний, заключение о соответствии с программой и методиками аттестационных испытаний, заключение о соответствии указанной информационной системы требованиям о защите информации, аттестат соответствия не получен..

признана виновной в совершении преступления, предусмотренного частью 1 статьи 293 Уголовного кодекса Российской Федерации – халатность, то есть ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного отношения к службе, если это повлекло причинение крупного ущерба и существенное нарушение прав и законных интересов граждан и охраняемых законом интересов общества и государства.»

(Решение от 09.09.2024 по делу №2—4236/2024)

Достаточно широкая практика квалификации «превышение служебных полномочий». Иногда самостоятельное обвинение, иногда в дополнение к классическим компьютерным преступлениям.

«Признавая вину фио установленной в полном объеме и подтвержденной собранными по делу доказательствами, суд квалифицирует его действия по ч.3 ст.272 УК РФ, как неправомерный доступ к компьютерной информации, то есть неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации, совершенное из корыстной заинтересованности, с использованием своего служебного положения.

Его же (фио) действия суд квалифицирует по ч.1 ст.286 УК РФ как превышение должностных полномочий, то есть совершение должностным лицом действий, явно выходящих за пределы его полномочий и повлекших существенное нарушение прав и законных интересов граждан и охраняемых законом интересов общества или государства.»

(Приговор от 14.04.2022 №1—363/22)

Для государственного ИТ характерны возможные последствия от нарушения работы информационных систем с серьезным масштабом и социально отягощенные, а так же высокий уровень стоимости госконтрактов.

«Под тяжкими последствиями как квалифицирующим признаком преступления, предусмотренным частью 3 статьи 285, пунктом „б“ части 2 статьи 285.4 и пунктом „в“ части 3 статьи 286 УК РФ, следует понимать последствия совершения преступления в виде крупных аварий и длительной остановки транспорта или производственного процесса, иного нарушения деятельности организации, причинение значительного материального ущерба, причинение смерти по неосторожности, самоубийство или покушение на самоубийство потерпевшего и т.п.»

(Постановление Пленума Верховного Суда РФ от 16.10.2009 №19 «О судебной практике по делам о злоупотреблении должностными полномочиями и о превышении должностных полномочий»)

Принял работы по аттестации информационной системы, выполненные «для получения бумажки», – наказан.

«В период времени с ДД. ММ. ГГГГ по ДД. ММ. ГГГГ, более точная дата и время в ходе предварительного следствия не установлены, у ФИО1, находящегося в неустановленном месте на территории Республики Потерпевший N 1, возник преступный умысел, направленный на превышение должностных полномочий в рамках государственного Контракта, то есть совершение должностным лицом действий, явно выходящих за пределы его полномочий и влекущих существенное нарушение прав и законных интересов граждан, охраняемых законом интересов общества и государства, с причинением тяжких последствий.

ДД. ММ. ГГГГ, более точное время органом предварительного следствия не установлено, ФИО1, находясь по адресу: <адрес>, реализуя указанный преступный умысел, осознавая общественную опасность своих действий, предвидя возможность наступления общественно опасных последствий, а именно существенного нарушения прав и законных интересов граждан в виде незащищенности персональных данных работников исполнительных органов государственной власти Республики Крым, охраняемых законом интересов общества и государства в виде неработоспособности системы защиты конфиденциальной информации исполнительных органов государственной власти Республики Крым, безразлично относясь к заданным результатам обеспечения государственных и муниципальных нужд, выполнению условий Контракта и расходованию бюджетных денежных средств, допуская наступление тяжких последствий в виде значительного материального ущерба.

достоверно зная, что по состоянию на ДД. ММ. ГГГГ ЦОД РК не аттестован по требованиям безопасности информации, работы по 5 этапу Контракта не выполнены, в связи с чем аттестовать систему защиты информации государственной информационной системы ЕЦСВБУ по требованиям защиты информации невозможно, подготовил экспертное заключение по результатам проведения экспертизы оказанных услуг, предусмотренных Контрактом по 6 этапу, согласно которому установил факт соответствия проведенных работ по аттестации системы по требованиям защиты информации техническому заданию, а также нормативным и методическим документам ФСТЭК России, которое представил в приемочную комиссию Министерства финансов Республики

При указанных обстоятельствах, заместитель заведующего отделом информационных технологий Министерства финансов Республики Крым ФИО1, являясь должностным лицом Министерства, на которое были возложены дополнительные обязанности по проведению экспертизы отдельных этапов исполнения Контракта, совершил действия, явно выходящие за пределы его полномочий, повлекшие существенное нарушение прав и законных интересов граждан в виде незащищенности персональных данных работников исполнительных органов государственной власти Республики Крым, охраняемых законом интересов общества и государства в виде неработоспособности системы защиты конфиденциальной информации исполнительных органов государственной власти Республики Крым, неэффективности осуществления государственной закупки, повлекшей существенное нарушение основных принципов контрактной системы в сфере закупок, предусмотренных ст. 6 ФЗ N, подрыва авторитета государственного органа в виду нарушений

приговорил:

ФИО1 признать виновным в совершении преступления, предусмотренного п. «в» ч. 3 ст. 286 УК Российской Федерации.

Назначить ФИО1 наказание по п. «в» ч. 3 ст. 286 УК Российской Федерации – 4 года лишения свободы с лишением права занимать на государственной гражданской службе должности, связанные с выполнением организационно-распорядительных функций, сроком на 2 года.»

(Приговор от 12.09.2024 №1—18/2024)

Необходимо помнить, что обвинения по статьям о злоупотреблении должностными полномочиями может коснуться руководителей ИТ подразделений и не в бюджетных организациях.

«Подсудимый Г. Д. А. совершил злоупотребление должностными полномочиями, то есть использование должностным лицом своих служебных полномочий вопреки интересам службы, если это деяние совершено из корыстной заинтересованности и повлекло существенное нарушение прав и законных интересов организаций и охраняемых законом интересов государства, повлекшее тяжкие последствия.

Г.Д.А., в период с 24 апреля 2020 года по 10 января 2022 года, являлся на основании приказа генерального директора ООО «РТ-Капитал» N 30-лс от 24 апреля 2020 года руководителем направления информационных технологий Административного департамента ООО «РТ-Капитал» ИНН <…>, учредителем которого с долей в размере 85.7786% является Государственная корпорация по содействию разработке, производству и экспорту высокотехнологичной промышленной продукции «Ростех» желая избежать наступления негативных последствий в виде возможных дисциплинарных взысканий вследствие неоконченной реализации по договору № РТК-151-21, а также желая повысить уровень KPI (Кипиай – ключевые показатели эффективности), за соответствующий уровень которого полагается годовая премия в размере 40% от суммы окладов за год, сформировал преступный умысел, направленный на злоупотребление должностными полномочиями, то есть использование должностным лицом своих служебных полномочий вопреки интересам службы, если это деяние совершено из корыстной заинтересованности и повлекло существенное нарушение прав и законных интересов организаций и охраняемых законом интересов государства, повлекшее тяжкие последствия.

В результате совершения Г. Д. А. злоупотребления должностными полномочиями, существенно нарушены права и интересы ООО «РТ-Капитал» и государства, выражающиеся в отсутствии возможности введения в организации системы электронного документооборота и долгосрочного хранения данных, что в свою очередь, позволило бы государственной организации укрепить уровень безопасности информационного модуля и поддерживать его на надлежащем уровне с иными государственными структурами, а также его действия повлекли тяжкие последствия, выразившиеся, кроме вышеуказанного, также в причинении ООО «РТ-Капитал» материального ущерба в размере сумма со стороны ООО «Авинтел»..

Признать Г. … виновным в совершении преступления, предусмотренного ч. 3 ст. 285 УК РФ, и назначить ему наказание в виде лишения свободы сроком на 4 (четыре) года, с лишением права заниматься деятельностью, связанной с выполнением организационно-распорядительных функций в государственных корпорациях и в хозяйственных обществах, в высшем органе управления которых Российская Федерация имеет право прямо или косвенно (через подконтрольных лиц) распоряжаться более чем пятьюдесятью процентами голосов, сроком на 2 (два) года, с отбыванием наказания в виде лишения свободы в исправительной колонии общего режима.»

(Приговор от 28.08.2024 №01—0057/2024)

Нарушил процедуру приемки в эксплуатацию информационной системы, включая проверку подсистемы защиты информации, – наказан.

«Таким образом, Ш., в соответствии с занимаемой должностью заместителя директора – начальника отдела обеспечения цифровой трансформации

Ш. совершил действия, которые никто и ни при каких обстоятельствах не вправе совершать. Между <данные изъяты> и ООО "<данные изъяты> был заключен контракт по внедрению и сопровождению медицинской информационной подсистемы Регионального фрагмента Единой государственной информационной системы в сфере здравоохранения Ульяновской области, предназначенной для автоматизации контроля движения лекарственных препаратов и медицинских изделий в медицинских организациях, подведомственных Министерству здравоохранения Ульяновской области.

Ш. совершил действия, которые никто и ни при каких обстоятельствах не вправе совершать. Между <данные изъяты> и ООО <данные изъяты> был заключен контракт по внедрению и сопровождению медицинской информационной подсистемы Регионального фрагмента Единой государственной информационной системы в сфере здравоохранения Ульяновской области, предназначенной для автоматизации контроля движения лекарственных препаратов и медицинских изделий в медицинских организациях, подведомственных Министерству здравоохранения Ульяновской области.

Ш., достоверно зная, что приемка результатов исполнения контракта должна осуществляться приемочной комиссией, с проведением экспертизы результатов исполнения в части их соответствия условиям контракта, превысив свои должностные полномочия, не созвал приемочную комиссию, не провел экспертизу на предмет соответствия результатов исполнения контракта. Без созыва приемочной комиссии, принял участие посредством ВКС в совещании с ООО <данные изъяты> в ходе которого без проведения проверки соответствия результатов оказанных услуг, осуществил визуальный поверхностный осмотр демонстрации 3 этапа по контракту. Не убедившись, что работы по 3 этапу контракта выполнены в полном объеме, осознавая, что его действия выходят за пределы его должностных полномочий, превышая свои должностные полномочия по приемке работ и распоряжению бюджетными денежными средствами, единолично подписал акт приемки-передачи оказанных услуг, необоснованно указав, что работы по 3 этапу выполнены.

Не убедившись, что работы по 3 этапу контракта выполнены в полном объеме, осознавая, что его действия выходят за пределы его должностных полномочий, превышая свои должностные полномочия по приемке работ и распоряжению бюджетными денежными средствами, единолично подписал акт приемки-передачи оказанных услуг, необоснованно указав, что работы по 3 этапу выполнены.

Действия Ш. способствовали совершению хищения бюджетных денежных средств, принадлежащих <данные изъяты> учрежденному Министерством здравоохранения Ульяновской области в размере 1 450 000 рублей и существенно нарушили охраняемые законом интересы общества и государства в сфере отношений, направленных на обеспечение государственных и муниципальных нужд в целях повышения эффективности, результативности закупок товаров, работ, услуг.

приговорил:

Признать Ш. ФИО66 виновным в совершении преступления, предусмотренного ч. 1 ст. 286 УК РФ и назначить ему наказание в виде штрафа в размере 50 000 рублей.»

(Приговор от 18.09.2024 по делу №1—189/2024)

Но самое распространенное обвинение для «цифровых спецназовцев» -это либо нецелевое использование бюджетных средств, либо мошенничество.

Завысили категорию значимости значимого объекта КИИ/класса ГИС/уровня защищенности ИСПДн и как следствие создали более сложную и дорогую систему защиты информации, хотя могли обеспечить соответствие требованиям законодательства с меньшим расходом бюджетных средств?