Минцифры предложило не наказывать за кибератаки на запрещённые сайты при внесении новых статей в УК

На фоне борьбы с цифровыми аферами Министерство цифрового развития подготовило законопроект, который радикально дополняет Уголовный кодекс положениями о злонамеренных действиях в ИТ-среде. 26 августа на официальной платформе regulation.gov.ru появился проект документа, предусматривающий введение новой статьи 272.2 — «Злостное воздействие на информационную систему, информационно-телекоммуникационную сеть, компьютерную информацию или сеть электросвязи».

Согласно содержанию законопроекта, под уголовное преследование могут попасть любые преднамеренные действия, нарушающие стабильность ИТ-сред и вызывающие уничтожение, блокировку или повреждение цифровых данных. В проекте уточняется, что речь идёт о DDoS-атаках, применении вирусов-вайперов, шифровальщиков и других видов воздействия, в том числе с участием искусственного интеллекта. Если результатом таких действий становится существенный ущерб или создаётся угроза его возникновения, предлагается наказывать по новому составу.

При этом наибольший общественный резонанс вызвало примечание к статье, прямо освобождающее от ответственности тех, кто направляет атаки против ресурсов, доступ к которым ограничен по решению властей. Фактически это означает, что вмешательство в работу сайтов, признанных нежелательными или попавших под блокировку, не будет рассматриваться как преступление по данной норме.

На необходимость конкретизации статуса таких ресурсов ранее обращали внимание журналисты и правозащитные группы, когда первые версии поправок стали доступными для обсуждения. Теперь эта формулировка официально зафиксирована в проекте, представленном Минцифры на федеральном портале.

Документ является частью второго пакета инициатив по противодействию кибермошенничеству. В публикации на сайте министерства подчёркивается, что изменения направлены на усиление защиты граждан от действий злоумышленников в цифровом пространстве и повышение эффективности реагирования на инциденты, в том числе с учётом новых угроз, связанных с развитием ИИ и расширением числа каналов для атак.

Юрий Другач, StopPhish: «В части законопроекта об освобождении от ответственности за атаки на запрещённые ресурсы я рассматриваю данное предложение с нескольких точек зрения: практической, законодательной и этической. С практической точки зрения, белые хакеры получат отличные «тренажёры» для проведения атак в реальных условиях.

Законодательно: это развяжет руки не только исследователям безопасности, но и криминальным элементам. Поощрять наращивание ресурсов у злоумышленников точно не стоит. Я бы не стал атаковать даже наркобаронов: во-первых, это опасно, а во-вторых, хоть я и не нарушил законодательство РФ, я нарушил бы закон в другой стране. Работа по «устранению» запрещённых ресурсов должна оставаться прерогативой государственных служб. Допуск к таким действиям обычных граждан, по оплошности, может навлечь проблемы на самих граждан. С этической точки зрения, я лично никого взламывать бы не стал, пока обе стороны не подписали договор с разрешением на такие действия».

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин: «Это крайне загадочная инициатива, если представить, как она будет работать в реальности. Например, какой-то сайт заблокирован властями РФ, а значит, злоумышленник из РФ не имеет возможности с ним взаимодействовать. Каким образом будет выявлено, что сайт атакован? Для чего владельцу заблокированного сайта подавать в суд в этом случае, если сайт уже вне закона? Назначение этой инициативы крайне неочевидно, если не представлять конспирологический сценарий: сейчас сайт заблокирован со стороны РФ, но если атаки на него из нашей страны будут безнаказанными, то уже сам ресурс заблокирует доступ к себе из РФ, и у РКН станет чуть меньше забот. Но я надеюсь, что эта мера будет раскрыта и прокомментирована в ближайшее время».

Андрей Мишуков, генеральный директор iTPROTECT: «Эти изменения можно приветствовать, их логика вполне понятна с точки зрения регулятора. Если ресурс внесён в число запрещённых, государство не должно брать на себя обязанность расследовать его инциденты безопасности, пресекать вредоносную деятельность против такого ресурса.

Стоит отметить, что российские белые хакеры таким образом получают законные цели для отработки своих навыков».

«Инициатива Минцифры выглядит спорно. Получается, что атаки вроде DDoS могут считаться «разрешёнными», если цель — заблокированный сайт. Но в реальности это создаёт серую зону: сегодня можно, завтра нельзя, и бизнесу и пользователям непонятно, где границы. Кибербезопасность должна быть про защиту и законность, а не про выборочные исключения. В противном случае мы рискуем легализовать хаос, а это подрывает доверие к отрасли», — рассказал заместитель генерального директора по кибербезопасности АО «Цикада» Саид Атциев.