Как стать автором
Обновить

Дайджест по посадкам. ИБ-специалисту на заметку

Время на прочтение 7 мин
Количество просмотров 4.8K
Весна, карантин и заколосившаяся рассада на подоконнике навеяли забавное название для поста. Но содержимое его вполне серьёзно. Работаю я в SearchInform и раньше довольно часто доводилось слышать мнение, что DLP-система и суд – понятия несовместимые. Мол, эта игра не стоит свеч. Так было лет 9 назад, когда основной причиной нежелания идти в суд была «бумажная» неподготовленность компании по части этапа Pre-DLP. Другой причиной была неуверенность (порой обоснованная), что суд не захочет вникать в тонкости защиты информации с помощью специализированного ПО. Однако в последние пару лет такая позиция озвучивалась всё реже и реже. Стало интересно, изменилась ли ситуация в судах или просто народ устал. Поэтому, с одобрямса руководства, мы с коллегой засели за поиск и анализ дел, которые в 2019 году рассматривали суды по четырем статьям УК РФ о манипуляции с компьютерной информацией. Результаты под катом.

Нас интересовали дела о махинациях с документами, базами данных и любой конфиденциальной информацией с использованием служебного положения.

Это нарушения по статьям УК РФ:

  • 183 (ч.2 и 3) – незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну;
  • 272 (ч.1, 2 и 3) – неправомерный доступ к компьютерной информации;
  • 159.6 (ч.3) – мошенничество в сфере компьютерной информации;
  • 138 (ч.2) – нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

И здесь сразу хотелось бы обозначить несколько моментов:

  1. Почему именно эти статьи? Выбор статей УК РФ был продиктован деятельностью компании. Они нам интересны в первую очередь. Но так как исследование (теперь) решено проводить ежегодно, мы готовы расширить перечень. Охватить всё вряд ли получится, но чем чёрт не шутит.
  2. Откуда дровишки? По 262-ФЗ суды обязаны публиковать тексты дел, но не всех (подробности тут). Поэтому мы смогли без ограничений посмотреть число рассмотренных дел, решение по ним, а вот содержание – не по всем. Тем не менее даже с ограничениями статистика с sudrf.ru рисует вполне живописную картину.
  3. Насколько полное исследование? Полное настолько, насколько это было возможным. Во-первых, материалы на публичных ресурсах публикуются не сразу. Задержка примерно с месяц. Во-вторых, часть дел во время рассмотрения переходит в другой правовой статус. В-третьих, бывают апелляции. Поэтому в 2019 году присутствуют как дела «родом» из прошлых лет, так и те, которые были начаты, но перешли в 2020-й. Наконец, в-четвёртых. Бывают дела с обвинением сразу по нескольким статьям. Например, ст. 138 часто «ходит парой» со ст. 272. В итоге подобные дела в рамках статподсчёта мы относили в обе группы.

В общем, цели претендовать на академичность изначально не стояло. И тем не менее, по каждому делу информация перепроверена и не раз, законспектирована из огромной простыни юридического языка в абзац человеческого – по существу. Поехали.

За что судили


Больше всего исков было предъявлено к нарушителям из телеком-отрасли, на них приходится порядка 70% дел. Но такая ситуация складывается главным образом за счет массовости нарушений по ст.138 (ч.2) – нарушение тайны переписки. Операторы связи и их «дочки» подают в суд на сотрудников за неправомерное обращение к информации о детализации звонков.

Обстоятельства дел, как правило, очень похожи. Сотрудники обращаются к данным без служебной нужды из-за желания продать информацию о переговорах абонентов (т.н. «пробив»). Реже встречались случаи «слива по дружбе», когда мотивом действий выступало желание бескорыстно помочь другу. На сотрудников салонов связи\телеком-операторов часто выходят со стороны – просят об информации за вознаграждение. Как правило, очень скромное – не более нескольких сотен рублей.

Также часто сотрудников из телеком-сферы судят и по статье 272 (ч.1, 2, 3, неправомерный доступ к информации). Самый распространенный сценарий – это внесение изменений в базу данных с целью замены сим-карты. Такое состояние дел совсем не радует, т.к. сотрудник совершает манипуляции с информацией, как правило, с целью вывода денег со счета абонента (как в этом деле) или за вознаграждение по просьбе третьего лица (как здесь).

image

Распределение исков по отраслям, ст.272

Встречаются и другие мотивы. В одном случае осужденная перевыпускала сим-карты знакомых ей клиентов «из мести и неприязни»: заходила к ним в аккаунты в соцсетях, где размещала компрометирующую информацию.

Несколько приговоров было вынесено в отношении сотрудников, которые из мести удаляли или портили информацию на сайтах своих организаций.
IТ-специалист районного суда после увольнения вошел под чужим паролем в систему управления сайтом, сменил доступы и удалил там информацию (говорится о 645 событиях по удалению, в том числе целых разделов). Пароль, кстати, нарушитель нашел прямо на рабочем месте – он был записан на листке бумаги, оставленном в серверной. Осужденного приговорили к шести месяцам исправительных работ с удержанием 10% заработка в доход государства (ссылка на его дело).
По другим статьям обстоятельства инцидентов не столь однородны. По 183 ст. (ч.2 и ч.3, разглашение коммерческой, налоговой или банковской тайны) тоже часто осуждают сотрудников телеком-операторов и работников салонов связи (40%), но столько же в суде оказывается и представителей банковской сферы.

Сотрудник заходил в специализированную программу, когда находился в кабинете один. После нахождения сведений о нужном клиенте в базе данных (а он искал конкретных лиц) сотрудник получал доступ к полным персональным данным, счетам клиентов, открытым счетам во всех отделениях банка, остаткам, данным о совершенных операциях. Всего в деле говорится, что специалист совершил 514 операций по собиранию сведений о счетах 110 клиентов. В большинстве случаев после просмотра информации, входил в конкретные счета клиентов и печатал реквизиты. Банк провел расследование по этим действиям, в ходе него выяснилось, что скорее всего сотрудник использовал счета клиентов, чтобы без их ведома «прогонять» деньги для дальнейшей обналички. Этот вывод сделали, т.к. проследили взаимосвязь: банковский сотрудник печатал реквизиты счетов, а в течение недели на эти счета поступали деньги от юрлиц. При этом сами клиенты сообщили, что не знали о зачислении на их счета денег (ссылка на дело).

image

Распределение исков по отраслям, ст.183
По ст. 159.6 рассматривают дела, связанные с модификацией информации – файлов, баз данных. В прошлом году было вынесено 79 решений по этой статье, но по служебным нарушениям в открытом доступе опубликовано недостаточно текстов, поэтому сложно делать выводы о типичных поводах, которые приводили работодателей в суд.

Самое заметное дело, информация по которому опубликована, – история сотрудника ульяновского отделения крупного федерального банка. В программе для работы с платежными картами клиентов он несколько раз увеличивал лимит по собственной карте, а позже – по карте подельника. Сначала суммы были небольшие, потом выросли – до 25,9 млн рублей.

Красноречивее сухого юридического текста новости в местных СМИ о «самом большом киберинциденте» в регионе. Журналисты описали процесс против подельника банковского сотрудника. Он помогал выводить деньги и купил на них шесть дорогостоящих автомобилей (Audi, Volvo, Mercedes-Benz), золотые слитки, мобильные телефоны и ювелирные украшения и другие товары. Все это богатство он тут же продал, чтобы легализовать похищенные средства. Под суд попал в январе 2019 года. Но нас интересует процесс против должностного лица. Его поймали позже, суд над ним состоялся летом (ссылка на дело). Дали 5 лет и 3 месяца в колонии общего режима и штраф 250000 рублей.

Бизнес свои интересы почти не защищает


Для своих заказчиков в судебной статистике мы пытались найти и дела, раскрывающие подробности корпоративного мошенничества, когда в качестве потерпевшего выступает сама компания. Такие дела рассматриваются в основном по 183-й статье (разглашение коммерческой тайны). Такие иски есть, но они гораздо более редкие. Вот два примера:
Сотрудница страховой компании выгружала данные из системы и передавала информацию в конкурирующую компанию по корпоративной почте. Всего в решении суда идет речь про 45 эпизодов. Суд прекратил дело, назначив штраф в 10 тыс. рублей. В похожем иске к сотруднице производственной компании наказание составило 1,5 года исправительных работ с удержанием 20% из заработка в доход государства (ссылка на текст первого дела и второго).

image

Распределение исков по отраслям, данные по 4 статьям

Так получается, что компании гораздо охотнее ходят в суд под угрозой имиджевых рисков, когда может серьёзно пострадать «лицо». Свои интересы предпочитают защищать в досудебном порядке, большинство просто увольняет нарушителей (60% по данным нашего исследования).

Наказания


image

Наказания, применяемые по ст. 272 (ч.1, 2, 3), 183 (ч.2, 3), 138 (ч.2)

Что касается наказаний, обращает на себя внимание, что за преступления, связанные с передачей персональных данных и детализации переговоров, наказывают достаточно легко. Часто в приговорах фигурирует отсылка к ст.73 УК РФ (Условное осуждение). И хотя конкретного указания пункта нет, скорее всего ссылаются на п.2: При назначении условного осуждения суд учитывает характер и степень общественной опасности совершенного преступления, личность виновного, в том числе смягчающие и отягчающие обстоятельства. Логика, видимо, такая: нарушения совершены «по глупости» или из небольшой корысти, а наказание носит как бы воспитательный характер. Но дела эти обманчиво безобидны. Персданные интересуют неограниченное число злоумышленников и могут «гулять» в свободном доступе до бесконечности.

image

Применение штрафа как наказания в рамках обвинительного приговора по статьям

А вот к чему суд относится гораздо внимательнее – это к тем сливам и неправомерному доступу, которые связаны или могут привести к изменению личной информации, краже денег со счетов. Так, по ст.272 гораздо чаще назначают не штраф, а условный срок или ограничение свободы. Но соразмерность штрафа и наказания и тут вызывает вопросы. Вот пример.
Один из самых малых штрафов – 5 тыс. рублей – суд назначил сотруднику УФМС, который по просьбе знакомого удалил информацию о судимости из одной карточки базы «Мигрант-1». Он смог сделать это из дома, воспользовавшись удаленным доступом к базе данных (дело).
По трем остальным статьям наиболее частое решение – прекращение дела и назначение судебного штрафа – от 8 до 110 тыс. рублей (подсудимый признает вину, оплачивает штраф, судимость не получает). Чаще всего суд избавлял от уголовной ответственности тех, кого судили по ст. 138, ч.2 – нарушение тайны переписки. По этой статье судебный штраф был присужден в 63% случаев.

Если дело доводилось до приговора, то и здесь штраф оказывался самым распространенным наказанием – в 31% случаев. Немного реже судьи наказывали условным сроком и ограничением свободы – в сумме в 29% случаев. Реальный срок предусмотрен в качестве наказания по всем рассматриваемым статьям. Но судьи почти не применяют его. В рассмотренных делах встретили санкцию только однажды, в деле о выводе из банка 25+ млн рублей (история упоминалась выше).

Итого


Выводы можно сделать разные. Например, что жизнь как всегда богаче любой выдумки: любопытство, корысть, месть, глупость, ошибка – мотивов, по которым люди посягают на чужую информацию масса.

Мы же с коллегой со своими «ибэшными» соображениями. За весь 2019 год в судах мы насчитали 327 дел по всем четырем статьям в частях, которые указывались в начале поста Если опираться на данные ежегодного опроса-исследования от компании, которые говорят, что только 12% компаний идет в суд, общее число исков, очевидно, могло бы быть значительно больше.

Хотят ли компании идти в суд? И да, и нет. В суд идут либо ради поддержки имиджа добрых и справедливых, либо, когда поднимается шумиха и бездействовать становится себе дороже.
Теги:
Хабы:
+9
Комментарии 7
Комментарии Комментарии 7

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн
PG Bootcamp 2024
Дата 16 апреля
Время 09:30 – 21:00
Место
Минск Онлайн
EvaConf 2024
Дата 16 апреля
Время 11:00 – 16:00
Место
Москва Онлайн