Пентестерам посвящается. Часть 3.

17 January
Пентестерам посвящается. Часть 3.
Пентестерам посвящается. Часть 3.

Часть 1

Часть 2

Ранее мы рассмотрели какие признаки преступления по ч.1 ст.274.1 УК РФ можно предполагать в заметке на Хабре, с учетом отсутствия выявления факта нанесения вреда информации или объекту КИИ.

В этой заметке поговорим о возможности квалификации действий автора заметки на Хабре по признакам, характерным для ч.2 - ч.5 ст.274.1 УК РФ.

Основной момент для дальнейшего обсуждения - "если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации".

Какие же последствия действий преступников были квалифицированы судом как повлекшие вред?

Примеры из реальных судебных решений: "причинен вред критической информационной инфраструктуре Российской Федерации, выразившийся в копировании базы персональных данных абонентов оператора связи (ПАО «Ростелеком») и их переходу к конкурирующей с ним структуре - компании оператора связи ПАО «Вымпел-Коммуникации»."

или

"Таким образом, ФИО осуществила неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, ..в виде доступа к электронным файлам и их копирования на рабочую станцию <данные изъяты> ПАО «Ростелеком», а также на сервера <данные изъяты>», что повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, в виде копирования привилегированной информации особой ценности, принадлежащей и охраняемой ПАО «Ростелеком», утечка которой нанесла вред деловой репутации данного оператора связи.."

или

"повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, в виде нарушения безопасности информации, принадлежащей и охраняемой ПАО «МТС», а также дискредитации деловой репутации ПАО «МТС»"

или

"причинил вред критической информационной инфраструктуре Российской Федерации в виде раскрытия информации о моделях, серийных номерах, количестве используемых портов и территориальном расположении телекоммуникационного оборудования применяемого на сети связи Амурского филиала ПАО «Ростелеком», нарушив правила эксплуатации информационных систем, информационно-телекоммуникационных систем, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, осуществив копирование электронных сведений"

Итог: практикуется трактовка "вреда КИИ" как "вред деловой репутации субъекта КИИ". Ничего не мешает заявить, что в нашем случае явно видны признаки умышленного и сознательного стремления автора заметки на Хабре - нанести вред репутации РЖД и дискредитировать руководителей данной организации. Легализовать это совсем не сложно. Получаем заключение лингвистической экспертизы с правильно поставленным вопросом эксперту. Дополнительно пресс-служба РЖД формирует справку о количестве и тональности упоминаний (репостах) заметки в других СМИ.

Эту позицию с репутационным вредом субъекта КИИ поддерживает и Институт законодательства и сравнительного правоведения при Правительстве РФ - "Например, причинение организации (субъекту КИИ) материального ущерба, репутационного вреда или возникновение иных негативных для нее последствий; нарушение технологических и бизнес-процессов организации."

А есть еще хуже ситуация, когда пострадавшая организация заявит материальный ущерб.

Пример из реального судебного решения:

"повлекли необходимость в проведении сотрудниками ... внеплановых дополнительных работ (проверок, инвентаризации, иных организационных мер) по восстановлению надлежащего уровня защищенности ОБЪЕКТ, стоимость которых составила 1 087 448 (Один миллион восемьдесят семь тысяч четыреста сорок восемь) рублей 19 копеек.". Вот автор заметки на Хабре уточнял "со мной связались специалисты РЖД и совместно закрыли уязвимости", а теперь представим что они проведут "осметчивание" проведенных работ и предъявят материальные претензии. И заметьте какая красивая сумма - чуть больше 1 000 000 рублей. А это специально, поскольку в УК РФ "Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей."

Есть парадоксальные примеры из судебной практики, когда само описание алгоритма действий, описанного в заметке, может быть квалифицировано как преступное - распространение запрещенной информации:

"Размещенные на указанной странице материалы направлены на неограниченный круг лиц, в обход установленным законодательствам требованиям для ведения и реализации такой деятельности, и размещения на вышеуказанном сайте информация является недопустимой к размещению в соответствии с законодательством Российской Федерации. Таким образом, предоставление возможности доступа к информации, содержащей алгоритм действий по несанкционированному доступу .... с использованием информационно-телекоммуникационных услуг сетей, в том числе сети «Интернет», фактически является распространением запрещенной информации.

Вход на сайт свободный, не требует предварительной регистрации и пароля, ознакомиться с содержанием указанного информационного сайта и скопировать материалы в электронном варианте может любой интернет-пользователь, ограничения на передачу, копирование и распространение отсутствуют."

Да, в заметке часть информации на скринах удалена для прочтения. Но это все уже будет на усмотрение эксперта при написании заключения в интересах обвинения.

Есть судебная практика, сформированная банками, когда любые действия (не работником банка) с информацией, обрабатываемой банкоматом, квалифицируются как нарушение правил эксплуатации: "Нарушение ФИО правил эксплуатации средств хранения, обработки, передачи компьютерной информации устройства самообслуживания №, расположенного по вышеуказанному адресу, в дальнейшем обеспечило тайное хищение ФИО денежных средств на сумму 1 021 000 рублей, что привело к причинению ООО Банк «..» материального ущерба на указанную сумму, то есть причинившее крупный ущерб."

Встречал даже упоминания в судебных решениях "нарушение правил эксплуатации сети Интернет". Или пример из профильного журнала "При квалификации DDoS-атак на интернет-ресурсы органов власти, организаций, предприятий, учреждений, граждан и их объединений суды не рассматривают действия преступника по ч. 1 ст. 274 или ч. 3 ст. 274.1 УК РФ, несмотря на то, что для достижения своих преступных целей лицо нарушает правила эксплуатации и доступа к информационно-телекоммуникационной сети (в данном случае сети Интернет)."

Позиция Генпрокуратуры: "особенно в части нарушения правил доступа к информационно-телекоммуникационным сетям, которые определены Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» как «технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники». Под данное определение попадает фактически любая компьютерная сеть, включая Интернет и локальные сети, как правило, создаваемые поставщиками услуг доступа в Интернет по территориальному принципу. Следует отметить, что каждый провайдер, предоставляющий доступ в Интернет, заключает с физическими и юридическими лицами договор оказания услуг, в котором прописаны определенные правила доступа к информационно-телекоммуникационным сетям. Таким образом, можно сделать вывод, что законодатель предусмотрел ответственность по данной статье и для общего субъекта преступления."

К вопросу о б охраняемой законом информации - "Информация, содержащаяся на средствах вычислительной техники АО «Восточная верфь», на которую осуществлено противоправное воздействие, является охраняемой компьютерной информацией, содержащейся в КИИ АО «Восточная верфь», так как на предприятии применяется комплекс организационно – технических мероприятий, ограничивающих доступ к компьютерной информации без ведома собственника – АО «Восточная верфь»".

В комментариях по обсуждаемой теме часто используется как аргумент - "наличие умысла" в действиях автора заметки на Хабре.

С одной стороны вопрос дискуссионный.

Пример - "При неправомерном доступе (ч. 2 ст. 274.1 УК РФ) умысел может быть как прямым, так и косвенным. Субъективная сторона преступления, предусмотренного ч. 3 ст. 274.1 УК РФ, характеризуется двумя формами вины. Нарушение правил эксплуатации и доступа может совершаться как умышленно, так и по неосторожности. Следует поддержать точку зрения Н.Ш. Козаева, что неуказание на форму вины в составе нарушения правил эксплуатации средств хранения, обработки или передачи компьютерных данных (автор формулирует данный вывод применительно к ст. 274 УК РФ) является упущением законодателя, поскольку сама конструкция состава логически требует признания возможности совершения деяния по неосторожности, но ч. 2 ст. 24 УК РФ позволяет признавать преступление совершенным по неосторожности, только если это предусмотрено соответствующей статьей Особенной части УК РФ <9>."

С другой стороны, есть недопонимание самой сути предмета - умысла.

Субъективная сторона указанного квалифицированного состава преступления характеризуется двумя формами вины – умыслом по отношению к самому деянию и неосторожностью по отношению к последствиям. В случае если преступник умышленно относился к наступлению тяжких последствий или созданию угрозы их наступления, то в зависимости от качественной и количественной оценки наступивших тяжких последствий его действия подлежат дополнительной квалификации по совокупности преступлений, предусмотренных соответствующими статьями УК РФ.

Преступное деяние описано в соответствующей части статьи УК РФ.

Заметьте "умыслом по отношению к самому деянию", а не к последствиям. Странно говорить, что пентестер не имел умысла на получение доступа к информации, обрабатываемой в инфраструктуре. Действовал он умышленно в части "получения неправомерного доступа с последующим воздействием на информацию в форме копирования".

И не надо путать "умысел" с "мотивом".

Генпрокуратура так это трактует: "Мотив и цель не влияют на квалификацию преступления."

Выводы: Если акт "чистого хакинга" еще сложно квалифицируем как преступление, то связка "проникновение + заметка на сетевом ресурсе" дает уже намного больше признаков компьютерного преступления. По сути, от оформления и содержания заметки судьба "хакера" зависит намного больше, чем от самих действий в инфраструктуре. И чем более внимания заметка привлекла, тем выше риски.

Таким образом, в публикации заметки на Хабре можно предположить следующие признаки преступлений по :

- ч.1 ст.274.1 УК РФ, в части использования компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации.

ч.2 ст.274.1 УК РФ, в части неправомерного доступа к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации

ч.3 ст.274.1 УК РФ, в части нарушения правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации

ч.4 ст.274.1 УК РФ. Не применима. Нет упоминаний в заметке, позволяющих выявить факт использования служебного положения или преступных действий в составе группы.

Ч.5 ст.274.1 УК РФ. Возможно при заявление пострадавшей стороной крупного ущерба.

Совет: думайте что делаете. За виртуальные поступки может наступить реальная ответственность.

Примеры реальных судебных решений я приводил ранее в заметке канала.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019