Какие IT-инциденты в принципе попадают в уголовную плоскость

Большинство IT-инцидентов остаются в границах гражданско-правовой и административной ответственности. Но есть категория ситуаций, при которых вероятна именно уголовная квалификация: серьёзные утечки, целенаправленные атаки, использование вредоносного программного обеспечения, действия инсайдеров, а также нарушения, затрагивающие тайну переписки и частную жизнь. Граница между обычной проблемой и уголовным риском обычно определяется не одним фактором, а комбинацией: характером действий, объёмом затронутой информации, мотивом, наличием специальных средств, последствиями для конкретных людей.

Ключевые составы УК РФ, связанные с IT

Ст. 272 — неправомерный доступ к компьютерной информации

Это базовая статья для значительной части киберинцидентов: неправомерный доступ к охраняемой компьютерной информации, если он повлёк уничтожение, блокирование, модификацию или копирование. Квалифицирующие признаки усиливают ответственность: причинение крупного ущерба, корыстная мотивация, использование служебного положения, действия группы. Состав конструкции достаточно широкий, и именно по нему чаще всего возбуждаются дела, связанные с утечками и несанкционированным доступом сотрудников к системам работодателя.

Ст. 273 — создание, использование и распространение вредоносных программ

Эта статья охватывает действия с программами и иной компьютерной информацией, заведомо предназначенными для несанкционированного уничтожения, блокирования, модификации, копирования информации или нейтрализации средств защиты. Для бизнеса это важно в нескольких сценариях: использование серых инструментов мониторинга и контроля, эксплуатация уязвимостей чужих систем, разработка и распространение программ, обладающих признаками вредоносных, даже под исследовательскими формулировками.

Ст. 274 — нарушение правил эксплуатации и доступа

Эта статья применяется к нарушениям правил эксплуатации средств хранения, обработки или передачи компьютерной информации либо правил доступа к ним, если это повлекло уничтожение, блокирование, модификацию или копирование информации, причинившие крупный ущерб. Чаще всего речь идёт о ситуациях, когда сотрудник умышленно или по грубой неосторожности нарушает установленные внутренние правила, и это приводит к значимым последствиям.

Смежные статьи: 137 и 138 УК

Помимо компьютерных составов, IT-инциденты нередко затрагивают неприкосновенность частной жизни (ст. 137 УК) и тайну переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ст. 138 УК). Это особенно актуально, когда речь идёт о неправомерном собирании, распространении или публикации частной переписки, материалов о частной жизни конкретных людей, перехвате сообщений. В ряде случаев эти составы применяются параллельно со статьями главы о компьютерных преступлениях.

Отдельно стоит держать в поле зрения составы, связанные с мошенничеством в сфере компьютерной информации и с неправомерным оборотом средств платежей. Они часто оказываются над базовыми киберстатьями, когда речь идёт о значимом ущербе для пользователей или о систематических действиях. Для бизнеса это означает, что в рамках одного инцидента квалификация может затрагивать сразу несколько составов — и это нужно учитывать при оценке рисков.

Что повышает вероятность уголовной квалификации

В ситуациях, когда инцидент попадает в поле зрения правоохранительных органов, на квалификацию обычно влияют несколько типичных факторов:

  • значительный объём затронутых данных или большое число пострадавших лиц;
  • наличие очевидной финансовой выгоды для нарушителя или третьих лиц;
  • использование специально подготовленных средств — скриптов, эксплойтов, инструментов автоматизированного сбора;
  • систематический характер действий, а не единичный эпизод;
  • привязка к конкретным людям внутри компании, имеющим доступ к системам по служебному положению;
  • отсутствие или сокрытие фиксации действий в журналах и документах.

Доследственная проверка: что важно понимать

Уголовному делу почти всегда предшествует доследственная проверка по заявлению пострадавшей компании, обращению регулятора или результатам оперативно-розыскных мероприятий. На этой стадии у следственных органов есть набор инструментов, в том числе осмотры, истребование документов, опросы, получение объяснений. От того, как компания взаимодействует с проверкой и какие материалы готовы к представлению, во многом зависит, будет ли возбуждено уголовное дело и против кого. Бессистемная или, наоборот, излишне эмоциональная реакция в это время часто становится самостоятельным риском — и для компании, и для конкретных сотрудников.

Принципиально важно разделять роли. Компания как заявитель защищает свои интересы и предоставляет материалы по инциденту. Сотрудники, чьи действия попадают в поле зрения проверки, оказываются в иной позиции: формально они дают объяснения как работники компании, фактически же речь может идти о будущих процессуальных рисках в их адрес. Совместное представительство компании и всех её сотрудников одним юристом в таких ситуациях обычно неуместно — возникает конфликт интересов, который потом сложно разнести по факту.

Что важно делать на стороне компании

Снижение уголовно-правовых рисков начинается задолго до инцидента. Минимальный набор практик, который помогает удерживать ситуацию в управляемых рамках:

  • чётко описанные внутренние правила доступа к системам, журналы доступа и их регулярная сверка;
  • политика по использованию инструментов мониторинга и контроля — без серых зон;
  • регламент реагирования на инциденты, в котором отдельно описан порядок работы с правоохранительными органами;
  • заранее определённый круг лиц, уполномоченных давать пояснения и подписывать документы при проверках;
  • правила сохранения первичных доказательств (логи, образы систем, переписка) с разумным сроком хранения;
  • понятный сценарий привлечения внешних юристов сразу после обнаружения инцидента, а не по факту получения повестки.

Что часто упускают

В момент инцидента в компании обычно включается режим срочно разобраться: ИТ-команды локализуют атаку, бизнес-подразделения общаются с клиентами, руководители принимают экстренные решения. На этом фоне часто упускаются вещи, важные именно с уголовно-правовой точки зрения: своевременная фиксация событий с участием юриста, корректное оформление внутренних служебных проверок, контроль за тем, что и кому говорят сотрудники на вопросы, аккуратная работа с логами и образами систем. Когда инцидент впоследствии попадает в уголовную плоскость, восстановить эту аккуратность задним числом крайне сложно — а именно она определяет, на что в итоге опирается следствие при оценке действий компании и её сотрудников.