Эксперт Карасев: новая статья за злонамеренные ИТ-атаки оправдана, но «поблажка» за атаки на запрещённые сайты может создать опасный прецедент
изображение: recraft
Павел Карасев, бизнес-партнёр компании «Компьютерные технологии», основатель просветительского проекта ибграмотность.рф и спикер российских и международных конференций по ИБ, прокомментировал для CISOCLUB инициативу Минцифры о введении в Уголовный кодекс новой статьи за злонамеренное воздействие на ИТ-среду. По его словам, в условиях стремительного усложнения цифровых угроз законодательная база действительно требует обновления.
«Инициатива Минцифры о введении отдельной уголовной статьи за “злостное воздействие” на ИТ-среду — это закономерный ответ на эволюцию цифровых угроз. DDoS-атаки, вирусы-вайперы, шифровальщики, а теперь и злоупотребление возможностями ИИ — всё это требует более точной и современной правовой квалификации. Сегодня злоумышленники всё чаще используют сложные, комбинированные подходы, а ущерб от атак затрагивает не только отдельные компании, но и критически важную инфраструктуру, порой на межгосударственном уровне», — отметил эксперт.
Он положительно оценил саму идею статьи 272.2 и подход к формализации последствий атак.
«С этой точки зрения формулировка новой статьи 272.2 — шаг в правильном направлении: законодательство должно идти в ногу с технической реальностью. Особенно важно, что учитывается не только сам факт атаки, но и её последствия — уничтожение, блокировка, изменение данных или создание реальной угрозы таковых последствий. Это позволит дифференцировать ответственность и не уравнивать все ИБ-инциденты по степени тяжести», — пояснил Карасев.
Однако он выразил обеспокоенность по поводу примечания в законопроекте, освобождающего от ответственности за атаки на запрещённые государством ресурсы.
«Вызывает тревогу формулировка примечания, освобождающего от ответственности лиц, атаковавших ресурсы, ограниченные по решению властей. В юридической плоскости это может создать прецедент избирательности применения закона. В технической — провоцирует размывание границ допустимого: под видом “патриотического хакерства” или активизма могут совершаться действия с далеко идущими последствиями для всей цифровой инфраструктуры, включая международные сегменты», — подчеркнул он.
Карасев также напомнил, что даже атаки на нелегитимные ресурсы могут нанести косвенный ущерб.
«Подобная оговорка усложняет работу специалистов по кибербезопасности и следователей: атаки, даже на запрещённые ресурсы, могут затрагивать сторонние узлы, каналы связи, CDN и прочие элементы, не входящие напрямую в зону “нелегитимной” инфраструктуры. Кто будет нести ответственность за сопутствующий ущерб?», — задался вопросом эксперт.
Он заявил, что с точки зрения профессионального сообщества крайне важно не допустить правовой двусмысленности и обеспечить единые стандарты защиты инфраструктуры.
«Важно добиться прозрачности критериев, по которым определяется допустимость таких действий, а также исключить возможность правового “мандата на атаку”. Закон должен быть технологически нейтрален и одинаково защищать цифровую инфраструктуру вне зависимости от политического или юридического статуса ресурсов», — заключил Павел Карасев.
