Пентестерам посвящается. Часть 1.

14 January
Пентестерам посвящается. Часть 1.

Заметка на Хабре "Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…" послужила основным инфоповодом для написания этой заметки. К сожалению, последствия от таких самодеятельных (несанкционированных владельцами инфраструктуры) действий различных граждан могут быть квалифицированы как компьютерные преступления согласно УК РФ.

Важно: в заметке нет оценки моральности/аморальности поступков кого-либо, не дается оценка действий автора заметки на хабре и т.д. Только описание "маркеров", которые могут использоваться правоохранительными органами с приведением примеров из судебной практики.

Так как мой дзен-канал посвящен вопросам безопасности КИИ, то сначала ответим на вопрос: относится ли инфраструктура РЖД к критической инфраструктуре РФ?

Ответ: ДА, является. И это не зависит от нюансов выполнения 187-ФЗ каким-либо конкретным подразделением РЖД. Уже есть три решения суда, прямо указывающим на это:

В соответствии с Уставом ОАО «РЖД», утвержденным дата, основной целью Общества являются обеспечение потребностей государства, юридических и физических лиц в железнодорожных перевозках, работах и услугах, осуществляемых обществом, а также извлечение прибыли. Для достижения этой цели, Общество, помимо прочего осуществляет оказание услуг по разработке конструкторско-технологической документации, изготовлению и поставке технологического оборудования и его сервисному обслуживанию, разработке автоматизированных информационных систем, систем, предназначенных для научных исследований, проектирования и управления, системных и прикладных программных средств, техническое обслуживание и ремонт вычислительной и иной техники и используемого совместно с ней периферийного оборудования.

Таким образом, ОАО «РЖД» как юридическое лицо, функционирующее в сфере оказания железнодорожных перевозок, в соответствии с Уставом и на основании Федерального закона от дата номер «О безопасности критической информационной инфраструктуры Российской Федерации» является субъектом критической информационной инфраструктуры, так как данная организация на законных основаниях использует информационные системы и информационно-телекоммуникационные сети, функционирующие в сфере транспорта, а также обеспечивает взаимодействие соответствующих систем и сетей, относящихся к инфраструктуре Российской Федерации.

Так как в заметке на Хабре проверялись настройки в основном системы видеонаблюдения объектов транспортной инфраструктуры (ж/д вокзалы, станции и т.д.), то могут возникнуть сомнения по отнесению конкретно этих систем к объектам КИИ. Но здесь есть сразу два момента:

1. Вся существующая правоприменительная практика показывает, что суды ни разу не изучали этот вопрос в судебных заседаниях. То есть, действует позиция - все ИС/АСУ/ИТКС субъекта КИИ относится к КИИ РФ. И это соответствует 187-ФЗ. И не важно, что отнесла ли сама себя организация к субъектам КИИ, включена ли конкретно эта система видеонаблюдения в перечень ОКИИ и поданы ли сведения о результатах категорирования в ФСТЭК России. Тем более не важна категория значимости объекта КИИ. За незначимые объекты КИИ наказывают аналогично.

Примеры из судебных решений:

- достаточно, что обвиняемый знал, что атакует объект транспортной инфраструктуры, а он это подтвердил сам в своей заметке и неоднократно: преступник достоверно зная, что ПАО «Ростелеком» относится к объекту критической информационной инфраструктуры

- могут пригласить эксперта со стороны обвинения и отнести конкретную систему к объекту КИИ: Из оглашенных в порядке ч.1 ст.281 УПК РФ по ходатайству государственного обвинителя и с согласия стороны защиты показаний специалиста Свидетель №8, данных им на предварительном следствии, следует..Таким образом, ПАО «Ростелеком» относится к субъекту КИИ, так как сама организация функционирует в сфере связи. Информационные системы, которыми ПАО «Ростелеком» обладает, также функционируют в сфере связи, а также обеспечивает взаимодействие систем и сетей в сфере связи....

- есть примеры, когда упоминаются перечни объектов КИИ пострадавшей организации: В соответствии с ч. 5 ст. 7 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» ПАО «МТС» завершило процедуру категорирования объектов критической информационной инфраструктуры и представило в ФСТЭК России сведения о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости.

2. Есть официальная позиция ФСТЭК России, что системы обеспечивающие безопасность объектов транспортной инфраструктуры следует относить к объектам КИИ.

Пентестерам посвящается. Часть 1.

Таким образом мы установили, что ст. 274.1 УК РФ может быть применена при квалификации действий граждан на системах видеонаблюдения РЖД.

Но это только начало пути. Нам необходимо посмотреть как квалифицировали суды подобные действия на объектах КИИ.

С точки зрения УК РФ, необходимо доказать наличие в действиях подозреваемого следующего состава:

1. Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на КИИ Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации.

Важно: не требуется доказать нанесение вреда такими действиями. Достаточно факта использования не только программ, но просто информации. Относится к ЛЮБОЙ информации, обрабатываемой объектом КИИ. Не требуется доказывать, что она охраняемая законом.

2. Неправомерный доступ к охраняемой компьютерной информации, повлекших нанесение вреда КИИ РФ.

Важно: необходимо доказать факт нанесения вреда. Но в УК РФ отсутствует определение что такое "вред КИИ". Необходимо доказывать, что информация охраняемая законом.

Далее рассмотрим материал заметки на Хабре на предмет соответствия этим требованиям, опираясь на уже вынесенные судебные приговоры.

Продолжение следует.....

Примеры реальных судебных решений я приводил ранее в заметке канала.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019