С 1 января 2018 г. вступил в силу Закон, направленный на защиту от компьютерных атак информационных систем государственных органов и автоматизированных систем управления технологическими процессами в области транспорта, здравоохранения и промышленности.

Согласно тексту документа, в Уголовном кодексе появляется новая статья — «Неправомерное воздействие на критическую информационную инфраструктуру РФ».

Согласно этой статье, создание вредоносных программ, «заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру», может караться штрафом в размере до 1 млн рублей или тюремным заключением на срок до пяти лет.

Также лишением свободы будет караться неправомерный доступ к информации, содержащейся в КИИ и повлекший за собой создание прямой угрозы и нарушение правил хранения подобной информации. Самое тяжелое наказание в десять лет лишения свободы может быть назначено в том случае, если действия обвиняемых в кибератаке повлекли за собой тяжкие последствия для КИИ.

Законопроект к объектам критической IT-инфраструктуры (КИИ) относит информационные системы и информационно-телекоммуникационные сети государственных органов, госучреждений, а также юрлиц и индивидуальных предпринимателей, которым принадлежат системы, функционирующие в энергетике, топливной, атомной и оборонной промышленности, в области здравоохранения, науки, транспорта, связи, кредитно-финансовой сфере, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Собственники и иные лица, пользующиеся на праве аренды или ином законном основании объектами критической информационной инфраструктуры, должны быть российскими юридическими лицами или индивидуальными предпринимателями.

Кроме того, закон вводит реестр значимых объектов КИИ, а также устанавливают требования по обеспечению безопасности значимых объектов КИИ с учетом их категорий. Кроме того, создаются системы безопасности значимых объектов КИИ РФ и обеспечение их функционирования.

Безопасность КИИ будет обеспечиваться в том числе за счет «взаимодействия этих систем с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, созданной в соответствии с указом президента РФ от 15 января 2013 г.».

Узнать больше: https://www.plusworld.ru/

За кибератаки будут сажать и штрафовать

Госдума приняла в окончательном, третьем чтении законопроект о безопасности критической информационной инфраструктуры (КИИ). За неправомерное воздействие на нее будут наказывать лишением свободы сроком до десяти лет или штрафом до 1 млн руб.

Госдума приняла в третьем чтении проект закона «О безопасности критической информационной инфраструктуры РФ», подготовленный в рамках доктрины информационной безопасности. В первом чтении проект был принят в январе, во втором — в начале июля 2017 года.

Как сообщал ранее “Ъ”, документ устанавливает основные принципы обеспечения безопасности КИИ, полномочия госорганов в этой области, а также права, обязанности и ответственность лиц, владеющих объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.

Владельцы объектов КИИ должны будут информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации, обеспечивать возможность восстановления объекта за счет создания резервных копий информации. Предполагается, что закон вступит в силу 1 января 2018 года.

Ранее поправки, предлагавшие отложить вступление до 2019 года, были отклонены депутатами.

Согласно принятому проекту, собственниками или арендаторами объектов КИИ должны быть российские юридические лица или индивидуальные предприниматели.

Объекты КИИ, каждому из которых будет присваиваться категория значимости, будут вноситься в специальный реестр.

В случае несоблюдения установленных правил субъекту КИИ будет направляться требование от уполномоченного органа о необходимости соблюдения положений закона.

Принятый пакет документов, в частности, предусматривает ответственность за нарушения в сфере КИИ: максимальная составит до десяти лет лишения свободы — например, за неправомерный доступ к информации из объектов критической информационной инфраструктуры, а также за создание хакерских программ для воздействия на КИИ. Штрафы за подобные нарушения составят от 500 тыс. до 1 млн руб.

Отдел медиа и телекоммуникаций

Как Комитет гражданских инициатив предлагает исправить проблемы интернет-законодательства

Российское законодательство в сфере интернета так отрегулировало отрасль, что российский сегмент, который мог занять лидирующие позиции на мировых рынках, теряет привлекательность для инвесторов и конкурентоспособность. Такую тенденцию выявили эксперты круглого стола, организованного Комитетом гражданских инициатив (КГИ) Алексея Кудрина для обсуждения проблем интернет-законодательства. Читайте подробнее

В россии ужесточили наказание за кибератаки на критическую it-инфраструктуру страны

С 1 января 2018 года вступают в силу изменения в Уголовный Кодекс РФ, которые предусматривают уголовную ответственность за кибератаки на национальную информационную инфраструктуру.

Об этом заявил генеральный Прокурор Российской Федерации Юрий Чайка, выступая на проходившем в Санкт-Петербурге заседании генеральных прокуроров государств-членов Шанхайской организации сотрудничества (ШОС).

Список объектов критической информационной инфраструктуры государства включает информационные и телекоммуникационные системы, а также автоматизированные системы управления технологическими процессами (АСУ ТП), которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

«С 1 января вступают в силу изменения, устанавливающие уголовную ответственность за неправомерный доступ к критической информационной структуре Российской Федерации, системам управления технологическими процессами в атомной и химической промышленности, энергетике, оборонно-промышленного комплекса и другим», — цитирует слова Юрия Чайки пресс-служба надзорного ведомства.

В своём выступлении генеральный прокурор отметил, что как бы не была хорошо организована работа по борьбе с киберпреступностью в отдельно взятой стране, для эффективного противодействия таким угрозам необходимо сотрудничество на межгосударственном уровне. «Уверен, что совместными усилиями мы сможем минимизировать криминальную активность в информационно-коммуникационных сферах на международном уровне», — сказал Чайка.

По данным «Лаборатории Касперского», за последние 12 месяцев каждая вторая промышленная компания в мире пережила от одного до пяти киберинцидентов, которые затронули критически важные инфраструктуры или АСУ ТП. При этом на устранение последствий этих инцидентов каждая организация потратила в среднем 497 тысяч долларов США.

Проведённый опрос представителей индустриальных предприятий по всему миру, включая Россию, показал, что столкновение с киберугрозами не стало для них неожиданностью — три четверти компаний допускают вероятность пострадать от кибератаки.

Более того, 83% респондентов считают себя хорошо подготовленными к тому, что в их промышленных IT-инфраструктурах может произойти какой-либо инцидент.

Материалы по теме:

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER. | Можете написать лучше? Мы всегда рады новым авторам.

Кибератаки на банковские счета: виды и способы борьбы с ними

Сегодня злоумышленники используют различные способы хищения денежных средств со счетов юрлиц и кредитных организаций. Некоторые из них были представлены экспертами на кейс-форуме, посвященному вопросам мошенничества в финансовой сфере, организатором которого выступила компания Business Summit of Future. Специалисты объяснили, что сложно отследить кибератаки из-за отсутствия соответствующих программ. Однако, они дали рекомендации, с помощью которых можно минимизировать риски и потенциальный ущерб. Какие виды существующих кибератак сегодня наиболее популярны и проблемы доказывания их применения в суде – в материале.

Виды атак, которым может подвергнуться компания

Директор по методологии и стандартизации компании «Позитив Текнолоджиз» Дмитрий Кузнецов отметил, что в большинстве случае злоумышленники стремятся технически закрепиться в структуре организации для получения информации и доступа к управлению компьютером для проведения финансовых операций. Он выделил следующие возможные способы:

• адаптация вредоносного программного обеспечения путем рассылки писем;
• осуществление взлома веб-приложений или проникновение через сторонние организации, например, через обновление системы, созданной для бухгалтерской отчетности – в этом случае инфицированный модуль обновления охватывает все компьютеры, на которых стоит программа.

По словам эксперта, злоумышленники проводят предварительную разведку и подготовку атаки, собирая сведения об организации или банке: используемое ПО, сведения о сотрудниках, партнерах, контрагентах и бизнес-процессах. После того как атака подготовлена и осуществлена, они организовывают инфраструктуру для обналичивания денежных средств.

Дмитрий Кузнецов отметил, что не всегда получается вычислить злоумышленников, так как они нередко подделывают адрес электронной почты отправителя, указывая, например, адрес контрагента или партнера. Он сообщил, что заражение компьютера вирусом происходит на стадии просмотра вложенного файла к письму.

При этом визуально никакого сбоя в работе не произойдет, однако злоумышленник получит контроль над машиной конкретного сотрудника и вирус установит соединение с другими компьютерами, которые с ним связаны.

«Если есть доступ к информационной системе, то дальше можно попытаться использовать уязвимость рабочего места руководителя или бухгалтера, слабые пароли, уставленные на рабочей почте, для расширения своего присутствия в инфраструктуре», – отметил Дмитрий Кузнецов.

Он подчеркнул, что злоумышленник, получая управление над доменом и сервером, может использовать информацию в своих интересах, а также установить связь с платежной системой и осуществить попытки списания денег со счетов. По оценке эксперта, отслеживать информацию злоумышленники могут на протяжении года, а вот выявить их самих без специальных программ, как правило, не представляется возможным.

К каналам проникновения в систему компании независимый Эксперт Николай Пятиизбянцев относит также установление съемных носителей информации, с помощью которых вредоносное программное обеспечение может попасть в систему компьютера (например, найденные специально «потерянные» или подаренные флеш-накопители).

При этом на практике нередко встречаются схемы хищения денежных средств удаленно. Так, организация-Истец обратилась в суд с иском о взыскании суммы ущерба в размере больше 469 млн руб. к компании-ответчика, осуществляющей функции оператора услуг платежной инфраструктуры (решение Арбитражного суда города Москвы от 30 мая 2016 г. по делу № А40-209112/15-3-519).

Из материалов дела следует, что истец привлек ответчика в качестве оператора по информационно-технологическому обслуживанию платежной системы.

В его обязанности также входило осуществление контроля за выполнением участниками своих обязательств по переводу денежных средств в режиме реального времени, пользовавшимися данной системой.

А также ответчик должен был следить, что совершенные операции по картам производились только в пределах расходных лимитов и отклонять запросы на транзакции по операциям с картами в случае их превышения.

Несмотря на то, что истец своевременно уведомил ответчика об установлении лимита в пределах 3 млн руб.

на период проведения всех операций, граждане получили в банкоматах наличные денежные средства на сумму превышающую 469 млн руб.

Истец как расчетный центр платежной системы не мог отказаться от проведения операций, тем самым понеся убытки в размере завершенных за счет собственных денежных средств расчетов.

При рассмотрении дела в суде ответчик предоставил документы, подтверждающие совершение около 3 тыс. операций по снятию наличных денежных средств по картам, из которых сразу были отменены больше половины операций.

По словам ответчика, все действия по списанию денежных средств и подтверждению операций были выполнены уполномоченными на их совершение представителями банка через систему удаленного доступа, однако в суде он не смог это доказать.

Арбитражный суд отметил, что ответчик не предпринял меры контроля за операциями, совершенными в платежной системе по банковским картам, несмотря на имеющееся программное обеспечение.

По мнению суда, им также не были выполнены действия для урегулирования нестандартной ситуации, возникшей в связи с большим количество отмен операций по картам банка.

При этом операционный центр несет ответственность за реальный ущерб, причиненный участникам платежной системы, вследствие ненадлежащего оказания операционных услуг (ст. 17 Федерального закона от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе»).

В связи с тем, что ответчик нарушил расходный лимит и не проконтролировал операции по банковским картам, арбитражный суд взыскал в пользу истца сумму более 469 млн руб., с чем согласился суд апелляционной инстанции (постановление Девятого арбитражного апелляционного суда от 31 августа 2016 года по делу № А40-209112/15-3-519).

По другому делу, судья Московского городского суда оставила в силе приговор нижестоящих судов о привлечении граждан к уголовной ответственности за мошенничество в сфере компьютерной информации (ч. 4 ст. 159.6 Уголовного кодекса, постановление Московского городского суда от 16 марта 2018 г. по делу № 4у-1053/2018).

Суть дела заключалась в том, что сотрудники организации получили письмо, содержащее вредоносное программное обеспечение, при прочтении которого вирусная программа активировалась и распространилась по всей внутренней сети компании.

Далее злоумышленники получили доступ к серверам и программному обеспечению, которое отвечает за формирование платежных сообщений. Согласно материалам дела, на лицевые счета, указанные в сфальсифицированных платежных сообщениях, были переведены денежные средства, которые осужденные обналичивали через банкоматы.

В качестве доказательств виновности злоумышленников суд учел свидетельские показания, изъятые документы, предметы, в том числе жесткий диск с данными о вредоносном программном обеспечении.

Существенная разница между двумя рассмотренными делами заключается в том, что в первом случае не удалось доказать факт внедрения в систему организации вредоносного программного обеспечения, с помощью которого злоумышленники смогли получить доступ к денежных средствам и обналичить их через банкоматы.

Мошенничество по телефону

Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов отметил, что одним из наиболее часто встречающихся способов мошенничества сегодня является телефонное, несмотря на постоянные предупреждения государственных органов о подобных случаях.

«В 2018 году зафиксировано 417 тыс. несанкционированных операций по картам на сумму 1,4 млрд руб.

, причем в России более 90% хищений с банковских счетов совершаются психологами, способными уговорить клиента совершить платеж в своих корыстных интересах», – добавил заместитель председателя Комиссии по цифровым финансовым технологиям Совета по финансово-промышленной и инвестиционной политике ТПП РФ Тимур Аитов. При этом эксперт подчеркнул, что банки снимают с себя ответственность в случае, если Гражданин сообщил сам злоумышленнику номер карты, персональные данные и кодовое слово. По его словам, нередко сотрудники банка работают с злоумышленниками в сговоре, например, изучают базу данных клиентов, переписывают их номера телефонов в обеденный перерыв. А после они передают данные злоумышленнику, который звонит клиенту или направляет СМС-сообщение на абонентский номер либо на электронную почту.

Так, гражданке на мобильный номер пришло СМС-сообщение с информацией о блокировке ее личной банковской карты с указанием номера телефона, по которому она может обратиться для получения дополнительной информации (решение Кетовского районного суда Курганской области от 3 октября 2017 г. по делу № 2-1330/2017).

На звонок ответил мужчина, представившийся сотрудником отдела контроля. Женщина попросила объяснить причину блокировки банковской карты и в процессе общения сообщила свои ФИО, номер банковской карты и кодовое слово. Сотрудник, с которым она общалась, пояснил, что проведет операции по зачислению и списанию денежных средств для разблокировки счета.

В связи с чем гражданке поступили два СМС-сообщения: о зачислении денежных средств и списании 500 тыс. руб., причем без ее согласия.

В отделении банка, куда она обратилась после списания денег, ей сообщили, что злоумышленник, используя ее личные данные, осуществил перевод денежных средств с ее банковского счета на счет другого лица, с которого деньги дальше были перечислены с помощью мобильного банка на карты третьим лицам.

В ходе расследования правоохранительные органы установили, какому лицу поступили денежные средства гражданки, а также установили лиц, которые в последующем обналичили денежные средства через банкомат.

Гражданка обратилась в суд с иском к женщине, которой первоначально поступили денежные средства, с требованием их возврата.

Однако ответчица отрицала получение денег, ссылаясь на то, что банковская карта была заблокирована в связи с утратой.

Суд первой инстанций отказал истице в удовлетворении заявленных требований, указав на то, что при осуществлении операций по переводу денежных средств, были верно введены в онлайн-системе идентификатор, логин и пароли.

В связи с чем лицо, осуществившее вход в систему, было определено как клиент банка в соответствии с условиями договора банковского счета.

Суд апелляционной инстанции также встал на сторону ответчицы, отметив, что истицей не представлено доказательств, подтверждающих увеличение стоимости имущества ответчицы за счет поступивших с банковского счета истицы денежных средств (апелляционное определение СК по гражданским делам Курганского областного суда от 16 января 2018 г.

по делу № 33-180/2018). Кроме того, по мнению суда, отсутствует причинно-следственная связь между перечислением денежных средств ответчице и их последующим поступлением на банковские карты третьих лиц. Суды обеих инстанций отметили, что в связи с утратой банковской карты, ответчица не имела возможности распоряжаться денежными средствами, поступившими на счет этой карты.

Однако Верховный Суд Российской Федерации нашел основания для удовлетворения жалобы истицы (Определение ВС РФ от 30 октября 2018 г. № 82-КГ18-2).

По его мнению, суды не дали оценку такому обстоятельству, что осуществлять какие-либо операции с банковской картой ответчицы могло только лицо, обладающее сведениями о пароле и ПИН-коде.

В связи с этим ВС РФ пришел к выводу, что утрата банковской карты сама по себе не лишает клиента прав в отношении денежных средств, находящихся на банковском счете, и возможности распоряжаться ими. Кроме того, Суд обратил внимание на то, что из перечисленных на банковский счет ответчицы 500 тыс. руб.

на счете осталось 87 тыс. руб., которыми она вправе распоряжаться, а значит вернуть истице, так как не было оснований для их получения.

ВС РФ также подчеркнул, что при передаче персональных данных – логина и пароля посторонним лицам ответчица несет риск наступления негативных последствий по операциям, проведенным по ее банковской карте, в том числе за неосновательное обогащение. Однако Суд не установил наличие согласованности действий между злоумышленником, ответчицей и третьими лицами. В связи с этим ВС РФ отменил решения нижестоящих судов и направил дело на новое рассмотрение.

Тимур Аитов сообщил, что правоохранительные органы и банки не заинтересованы противодействовать телефонным мошенничествам. По его словам, это объясняется тем, что правоохранительным органам сложно обнаружить злоумышленников из-за отсутствия доступа к инфраструктуре банковских сетей.

Эксперт отметил, что на сегодняшний день ему неизвестны судебные решения о возврате клиентам средств, которые были получены вследствие использования уговоров по телефону.

«Если же банк захочет противодействовать мошенничеству и усложнит доступ к счету многочисленными проверками, то он сам же может пострадать: клиенты будут уходить из банка из-за сложных процедур при проведении платежей», – добавил Тимур Аитов.

В качестве метода борьбы с подобными правонарушениями он предложил банкам усложнить процедуры перевода денежных средств только при возрастании их сумм, например, на сумму до 100 тыс. руб. порядок подтверждения операции будет заключаться только в предоставлении пароля из СМС-сообщения, от 100 тыс. руб. до 1 млн руб. – не только пароль, но и подтверждение кодовым словом, а свыше 1 млн руб. еще и отпечатком пальца;

«Станет ли биометрия заменой пароля?», – задается вопросом Николай Пятиизбянцев. По его мнению, нет, во-первых, потому что не на всех устройствах это возможно реализовать, а, во-вторых, устанавливать специальный считыватель дорого.

Кроме того, эксперт отметил отсутствие инфраструктуры для хранения биометрических данных и их защиты. Николай Пятиизбянцев не видит и выгоды в применении биометрии, так как если пароль будет скомпрометирован, то его можно изменить, а физические возможности человека ограничены.

«Биометрия, как возможность опознать человека по лицу, работает великолепно, проблема возникает на стыке биометрии с операционной системой: если злоумышленник контролирует операционную систему, то вы один раз делаете селфи, а он это селфи многократно использует для подтверждения различных операций», – добавил Дмитрий Кузнецов. По его мнению, биометрия может быть использована в качестве подтверждения операций, при условии, что защищена операционная система.

Рекомендации экспертов по борьбе с кибератаками

Эксперты отметили, что в компаниях должна быть выстроена Процедура реагирования на кибератаки: от профилактики предотвращения взломов серверов до оперативного обращения в банк для приостановления операций по счету и дальнейшего расследования при неправомерном списании денежных средств. В качестве дополнительных рекомендаций они предложили следующее:

• закрепить положение во внутренних документах организации о том, какие сотрудники будут иметь доступ в систему с указанием набора возможных операций в ней;
• предусмотреть дополнительные меры идентификации лиц при проведении платежей или запросов на них, например, сотрудник организации не только вводит логин и пароль, но и запрос на списание денежных средств или его подтверждение подписывает простой электронной подписью, а клиент в этой ситуации – квалифицированной;
• предоставить каждому сотруднику компании контрольно-измерительные материалы, в которых будут указаны существующие угрозы со стороны злоумышленников и применимые в связи с этим меры безопасности;
• указать в договоре на оказание услуг, что за все действия, которые клиент совершает под своей учетной записью на сайте или портале организации, он сам несет ответственность;
• использовать антифрод – интеллектуальную блокировку транзакций без необходимости постоянного привлечения сотрудников – например, программа будет отслеживать устройства, с которых выполнены запросы на списание денежных средств, и сравнивать с «черными» списками злоумышленников;
• страховать риски от потенциальных кибератак.

В госдуму внесен законопроект об уголовной ответственности за кибератаки на критическую информационную инфраструктуру рф

Правительство РФ внесло в Госдуму три законопроекта, направленные на обеспечение безопасности критической информационной инфраструктуры РФ, предусматривающие, в том числе тюремный срок для хакеров.

Согласно пояснительной записке, в настоящее время ответственность за нарушение законодательства о безопасности критической информационной инфраструктуры РФ может наступать на основаниях, предусмотренных статьями 272-274 Уголовного кодекса Российской Федерации.

Вместе с тем, учитывая необходимость повышенной уголовно-правовой защиты безопасности критической информационной инфраструктуры Российской Федерации, целесообразно выделение составов посягательств на критическую информационную инфраструктуру РФ в отдельную статью, считают авторы документа.

Законопроектом предлагается дополнить УК РФ статьей 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», которая предусматривает ответственность, в том числе уголовную, за:

• создание и (или) распространение компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации;
• неправомерный доступ к охраняемой законом компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации;
• нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации.

Неправомерное воздействие на критическую информационную инфраструктуру РФ (из текста зоконопроекта)

1. Создание и (или) распространение компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, включая уничтожение, блокирование, модификацию, копирование информации, содержащейся в ней, или нейтрализацию средств защиты указанной информации, — наказывается штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

2.

Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации или создал угрозу его наступления, — наказывается штрафом в размере от одного миллиона до двух миллионов рублей или в размере заработной платы или иного дохода осужденного за период от трех до пяти лет либо лишением свободы на срок до шести лет со штрафом в размере от пятисот тысяч до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет или без такового.

3.

Нарушение правил эксплуатации средств хранения, обработкиили передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей и их оконечного оборудования, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанной информации, информационным системам, информационно-телекоммуникационным сетям и их оконечному оборудованию, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации или создало угрозу его наступления, — наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

4.

Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой лиц или лицом с использованием своего служебного положения, — наказываются принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового либо лишением свободы на срок от трех до восьми лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

5.

Деяния, предусмотренные частями первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок от пяти до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового».

Согласно отзыву Верховного суда, само предложение о выделении посягательств на критическую информационную инфраструктуру в специальные составы преступлений возражений не вызывает.

Вместе с тем, по тексту законопроекта имеются некоторые замечания. Так, вызывает некоторые опасения то, что «в диспозиции проектной статьи для определения последствий общественно-опасных деяний используются признаки только субъективно-оценочного характера, и что это может стать причиной трудностей у правоприменителя при установлении причинённого вреда».

• В случае принятия закон вступит в силу с 1 января 2017 года.
• Также в Госдуму внесены следующие законопроекты: О безопасности критической информационной инфраструктуры Российской Федерации и О внесении изменений в Законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
• Проектом федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливаются основные принципы обеспечения безопасности критической информационной инфраструктуры, полномочия государственных органов в этой области, права, обязанности и ответственность лиц, владеющих на праве собственности или другом законном основании объектами такой инфраструктуры, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.
• В соответствии с законопроектом, безопасность критической информационной инфраструктуры России и её объектов обеспечивается, в частности, за счёт:

• разработки критериев категорирования объектов критической информационной инфраструктуры, показателей этих критериев и порядка категорирования объектов;
• ведения реестра значимых объектов критической информационной инфраструктуры;
• установления требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры с учётом их категорий;
• создания систем безопасности значимых объектов критической информационной инфраструктуры и обеспечения их функционирования;
•  обеспечения взаимодействия систем безопасности с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на российские информационные ресурсы;
• государственного контроля в области безопасности критической информационной инфраструктуры.

Законопроектом «О безопасности критической информационной инфраструктуры Российской Федерации» наряду с дисциплинарной, гражданско-правовой и административной ответственностью предусматривается уголовная ответственность за нарушение законодательства о безопасности критической информационной инфраструктуры.

Проектом федерального закона «О внесении изменений в законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»» предусмотрено внесение соответствующих изменений в Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и в Закон Российской Федерации «О государственной тайне».

Внесение изменения в часть 3.

1 статьи 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» позволит не применять положения этого Федерального закона, устанавливающие порядок организации и проведения проверок, к деятельности по государственному контролю в области безопасности критической информационной инфраструктуры.

Внесение изменения в пункт 4 статьи 5 Закона Российской Федерации «О государственной тайне» связано с необходимостью защиты сведений о мерах, предпринимаемых для обеспечения безопасности значимых объектов критической информационной инфраструктуры, а также сведений об оценке степени защищенности критической информационной инфраструктуры Российской Федерации. Это позволит отнести такие сведения к сведениям, составляющим государственную тайну.

Напомним, что в ноябре Минкомсвязь предложила внести в законодательство базовые термины, касающиеся работы Интернета.

Так, законопроект предлагает ввести отдельные нормы, регулирующие критическую инфраструктуру Интернета.

Правительство Российской Федерации предлагается наделить полномочиями по определению порядка управления и функционирования отдельными элементами критической инфраструктуры.

1. К критической инфраструктуре российского национального сегмента сети «Интернет», относятся:
2. а) национальная доменная зона ru, .рф и инфраструктура, обеспечивающая ее функционирование;
3. б) системы точек обмена трафиком, критерии отнесения к которым устанавливаются федеральным органом исполнительной власти в области связи;
4. в) государственная информационная система обеспечения целостности, устойчивости и безопасности функционирования российской части сети «Интернет», предусмотренная статьей 21.2 настоящего Федерального закона;
5. г) инфраструктура автономных систем сети «Интернет», критерии отнесения к которым устанавливаются федеральным органом исполнительной власти в области связи.

Отметим также, что в понедельник 5 декабря Владимир Путин утвердил новую доктрину информационной безопасности РФ. В частности, в доктрине идет речь и о безопасности критической информационной инфраструктуры страны.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Госдума приняла закон о введении наказания за кибератаки на критическую IT-структуру РФ

Согласно ему, Уголовный кодекс РФ дополняется статьей о неправомерном воздействии на критическую информационную инфраструктуру России.

Ранее нижняя палата парламента приняла в третьем чтении закон «О безопасности критической информационной инфраструктуры РФ», согласно которому к такой структуре относятся информационные системы и информационно-телекоммуникационные сети государственных органов и госучреждений.

Также в число таких объектов могут быть включены информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в энергетике, топливной, атомной и оборонной промышленности, в области здравоохранения, науки, транспорта, связи, кредитно-финансовой сфере, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Поправками в уголовное законодательство устанавливается ответственность за создание, использование и распространение компьютерных программ, заведомо предназначенных для неправомерного воздействия на критическую IT-инфраструктуру, в том числе для уничтожения, блокировки, модификации и копирования информации, содержащейся в ней, или нейтрализацию средств защиты такой информации. За это грозит наказание в виде принудительные работ на срок до пяти лет с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок от двух до пяти лет со штрафом в размере от 500 тыс. руб. до 1 млн руб. или в размере дохода осужденного за период от одного года до трех лет.

За неправомерный доступ к охраняемой компьютерной информации, если он навредил критической инфраструктуре, предусмотрена Санкция в виде принудительных работ на срок до пяти лет со штрафом в размере от 500 тыс. руб. до 1 млн руб.

или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет и с ограничением свободы на срок до двух лет или без такового.

Более строгое наказание устанавливается в виде лишения свободы на срок от двух до шести лет со штрафом в том же размере или в размере дохода осужденного за период от одного года до трех лет.

Нарушение правил эксплуатации средств хранения, обработки или передачи информации, содержащейся в критической информационной инфраструктуре, либо правил доступа к указанной информации в случае причинения вреда критической инфраструктуре наказывается принудительными работами на срок до пяти лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Более строгое наказание предусматривает лишение свободы на срок до шести лет также с возможным лишением права занимать определенные должности в течение трех лет.

Деяния, совершенные по предварительному сговору организованной группой лиц или лицом с использованием своего служебного положения, наказываются лишением свободы на срок от трех до восьми лет с возможным лишением права заниматься определенной деятельностью на срок до трех лет.

Если преступления повлекли тяжкие последствия, злоумышленникам грозит лишение свободы на срок от пяти до 10 лет с возможным лишением права занимать определенные должности на срок до пяти лет.

На рассмотрение Госдумы документ внесло правительство РФ.

За кибератаки на IT-инфраструктуру лишат свободы на 10 лет

Госдума приняла в третьем чтении пакет правительственных законопроектов, которые касаются безопасности критической информационной инфраструктуры (КИИ) РФ. Максимальные санкции за создание вредоносных программ для кибератак предусматривают до 10 лет лишения свободы.

Когда урон от кибератак для отечественной экономики исчисляется сотнями миллионов долларов, государство не должно стоять в стороне, подчеркнул глава комитета Госдумы по информполитике Леонид Левин.

«В условиях нехватки на рынке специалистов по кибербезопасности, снижения расходов компаний на эти цели в связи с экономическими трудностями, именно государство должно обеспечить определенные гарантии в сфере информационной безопасности», — сказал он, комментируя принимаемые законы.

В УК РФ вводится новая статья «Неправомерное воздействие на критическую информационную инфраструктуру РФ».

Создание и (или) распространение компьютерных программ, заведомо предназначенных для неправомерного воздействия на нее, будет наказываться принудительными работами на срок до пяти лет, либо лишением свободы на срок от двух до пяти лет.

Это будет сопровождаться штрафом в размере от 500 тысяч до 1 миллиона рублей. Если важную информацию не уберегли от хакеров (или появилась угроза таких последствий), то это тоже чревато наказанием. Такой сотрудник может быть лишен свободы на срок до шести лет.

При действии сговорившейся группы лишение свободы может составить восемь лет. Если деяния повлекли тяжкие последствия или создали угрозу их наступления, предусмотрено лишение свободы на срок от пяти до десяти лет. Планируется, что документ должен вступить в силу с 1 января 2018 года.

Устанавливаются основные принципы обеспечения безопасности КИИ, полномочия госорганов в этой области и т.п. Владельцы объектов КИИ должны будут информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации, обеспечивать возможность восстановления объекта за счет создания резервных копий информации.

Кроме того, прописывается, что к сведениям, составляющим государственную тайну, относятся сведения о мерах по обеспечению безопасности КИИ страны и о состоянии ее защищенности от компьютерных атак.

Собственники или иные лица, пользующиеся на праве аренды или ином законном основании объектами КИИ, должны быть российскими юридическими лицами или индивидуальными предпринимателями.

К обеспечению информационной безопасности будет привлечен Центробанк в тех случаях, когда это касается банковской сферы.

— Согласно экспертным данным, за последний год практически каждая российская компания в той или иной мере пострадала от киберинцидентов.

Каждый месяц специалисты обнаруживают миллионы новых вариантов вредоносного ПО, — комментирует Леонид Левин.

— С развитием цифровой экономики системы управления технологическими процессами на предприятиях будут активнее интегрироваться в глобальную сеть, в связи с чем усилятся и хакерские угрозы.

Глава комитета заявил, что в связи с этим возникла необходимость предусмотреть эффективные заслоны для злоумышленников, чтобы пресечь любые попытки получения удаленного доступа к компонентам автоматизированных систем. Особенно это актуально на объектах, связанных с энергетикой, финансами и другими ключевыми отраслями.