Как нам сообщает "Коммерсантъ", в этом году Банк России "собирается проверить деятельность систем информбезопасности банков по новому сценарию. В прежние годы регулятор заранее предупреждал об учениях. На этот раз он собирается провести внезапную проверку, отправив сотрудникам банков письма с вредоносным ПО. Специалисты по информбезопасности говорят о рисках того, что в результате к учениям подключатся реальные злоумышленники."
Для реализации этих удивительных мероприятий в Банке России просят направить им "не менее 30 адресов электронных почт сотрудников, отдавая приоритет тем, кто не работает в службе информационной безопасности".
Для формирования условий, приближенных к реальности, участники не будут уведомлены о точной дате проведения киберучений»,— пишет Банк России.
Возможно, я неправ, и возможно так и надо, но по этому поводу вспоминается статья 273 УК РФ "Создание, использование и распространение вредоносных компьютерных программ":
Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, -
наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, -
наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, -
наказываются лишением свободы на срок до семи лет.
Разумеется, все то же самое относится к аудиторам ИБ и прочим пентестерам, и поэтому интересны мысли, как Банк России будет выкручиваться из кажущейся довольно щекотливой ситуации (а также, может, истории из жизни, как выкручиваются аудиторы ИБ).
