Подмена телефонного номера в корыстных целях

Дата: 02.12.2020. Автор: Валерий Комаров. Категории: Блоги экспертов по информационной безопасности
Подмена телефонного номера в корыстных целях

   

   Пока только МТС заявляет себя субъектом КИИ в суде и требует наказывать своих работников за нарушение должностных инструкций по ст.274.1 УК РФ. Остальные сотовые компании продолжают по старинке.

   Вот так денюжки с карточек и уходят. Вовлекли в преступный сговор сотрудника сотового оператора, замена в базе оператора связи абонентского номера, привязанного к банковской карте и делай что хочешь.

Приговор № 1-259/2020 от 7 мая 2020 г. по делу № 1-259/2020


г. Рубцовск Алтайского края «07» мая 2020 года
Пищика А.М., ранее не судимого,
— в совершении преступления, предусмотренного ч. 3 ст. 272 УК РФ,

У С Т А Н О В И Л:
Согласно ч.2 ст.23 Конституции РФ, каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только по судебному решению.
Согласно п. 3 и п. 6 ст.2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее по тексту ФЗ № 149): информационная система — это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств; доступ к информации — это возможность получения информации и ее использования. Согласно ч.1 и п.1 ч.3 ст.6 ФЗ № 149, обладателем информации может быть любое лицо; обладатель информации, если иное не предусмотрено федеральными законами, вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа. В соответствии с п.п.1-3 ч.1 ст.16 данного Федерального закона: защита информации представляет собой принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.
Согласно ч.1 ст.53 Федерального закона от 07.07.2003 № 126-ФЗ «О связи» (далее по тексту ФЗ №126), сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.
Согласно п.п.1-3 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту ФЗ №152): персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств данными, включая сбор, запись, систематизацию, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В соответствии с ч.1 ст.19 данного Федерального закона: оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
*** Инспекцией Федеральной налоговой службы по … зарегистрировано открытое акционерное общество «Вымпел-Коммуникации», с целью, в том числе эксплуатации и предоставления услуг местной и международной сотовой радиотелефонной связи. С *** преобразовано в публичное акционерное общество «Вымпел-Коммуникации» (далее по тексту ПАО «ВымпелКом»), которое в своей деятельности активно использует информационные технологии. Сведения в информационных системах обрабатываются с применением информационно технологических ресурсов, к которым относятся, персональные компьютеры, мобильные устройства, корпоративная сеть, базы данных, файловые каталоги, информационные системы и компьютерные программы.
Сведения, содержащиеся в информационных системах ПАО «ВымпелКом» являются конфиденциальными и в соответствии с Порядком «Обращения с информацией ограниченного доступа» (далее Порядок ИОД) утвержденным Президентом ПАО «ВымпелКом» К. ***, а так же в соответствии с ФЗ № 149, ФЗ № 126, ФЗ № 152, составляют охраняемую законом информацию — коммерческая тайна, тайна связи, персональные данные, данные об абонентах (п. 4.3 Порядка ИОД). В качестве систем управления базами данных в ПАО «ВымпелКом» используются различные программные средства, такие как «aCRM», «CSM».

ПАО «ВымпелКом», как собственник информации, хранящейся в базах данных, в целях исключения несанкционированного доступа к охраняемой законом компьютерной информации и в соответствии с вышеуказанными федеральными законами, разработал специальные средства ее защиты, в том числе процедуру авторизации пользователя, то есть осуществления входа в систему по уникальному/персональному логину и паролю, которые в соответствии с приложением Приказа от *** Правил пользования услугами информационных технологий, должностной инструкцией, а так же трудовым договором выдаются лицу из числа сотрудников ПАО «ВымпелКом» в зависимости от занимаемой должности, ответственному за обработку информации ограниченного доступа (ИОД) и которому разъясняется ответственность за нарушение данных правил.

ПАО «ВымпелКом» предоставляет услуги сотовой связи, соответственно при подключении абонентов к сетям компании, им выдается SIM-карта (Subscriber Identification Module) — идентификационный модуль абонента, предназначенный для идентификации пользователя (абонента) в сети сотовой связи. В ПАО «ВымпелКом» утверждена и обязательна для выполнения всеми сотрудниками компании «Процедура замены SIM-карт в собственных офисах Компании» (Приложение Распоряжение Р от ***), в соответствии с которой процедура замены SIM-карты осуществляется только в присутствии абонента или же представителя по доверенности, по письменному заявлению клиента после идентификации.

*** Пищик А.М. принят на должность специалиста офиса в офис обслуживания и продаж в г. Рубцовске с непосредственным подчинением Руководителю группы офисов ПАО «ВымпелКом».

В соответствии с трудовым договором от ***, а также с должностной инструкцией от *** специалиста офиса обслуживания и продаж Пищик А.М., занимая указанную должность, относится к категории специалистов, осуществляя организационно-распорядительные и административно-хозяйственные функции, согласно которым специалист офиса обслуживания и продаж в г. Рубцовске с непосредственным подчинением Руководителю группы офисов ПАО «ВымпелКом»:

— контролирует наличие и движение товарно-материальных ценностей (далее по тексту ТМЦ) на персональном складе и в общем складе офиса продаж и обслуживания, обеспечивает сохранность ТМЦ офиса и строгое выполнение регламента сохранности ТМЦ;

— соблюдает кассовую дисциплину, правила ведения денежных расчетов, ведения кассовых операций, правила работы с контрольно — кассовой техникой;

— обеспечивает обработку персональных данных физических лиц, с которыми связана работа Сотрудника, в том числе сбор, хранение, ввод, использование, изменение и уничтожение обрабатываемых персональных данных;

— контролирует наличие и движение товарно-материальных ценностей на персональном складе и общем складе офиса продаж и обслуживания, обеспечивает сохранность ТМЦ офиса и строгое выполнение Регламента сохранности ТМЦ.

— Работник принимает на себя обязательства: добросовестно исполнять свои трудовые функции (обязанности), нормы и правила, установленные правилами внутреннего трудового распорядка, всеми иными локальными нормативными актами Работодателя, включая внутренние нормативные документы (Кодексы, Корпоративные стандарты, Процедуры, Инструкции, Технические стандарты, Карты процесса политики, Регламенты и прочее), распорядительные документы Работодателя (Приказы, Распоряжения), организационные документы (Положения, должностная инструкция и пр.) (далее — «Внутренние Документы»), выполнять распоряжения своего непосредственного руководителя и руководителей Работодателя, подчиняться внутреннему трудовому распорядку, установленному Работодателем.

— Работник признает, что при выполнении трудовых функций (обязанностей) у Работодателя ему предоставляются сведения, составляющие охраняемую законом тайну (коммерческую, служебную, персональные данные и иную информацию ограниченного доступа, относящуюся к таковой на основании Внутренних Документов Работодателя), именуемую в дальнейшем «информация ограниченного доступа», касающаяся деятельности Работодателя и/или аффилированных компаний Работодателя, именуемые в дальнейшем «Фирмы», а разглашение информации ограниченного доступа может причинить Работодателю и/или Фирмам значительный ущерб и убытки.

— Работник обязуется не разглашать прямо или косвенно информацию ограниченного доступа, за исключением случаев получения предварительного письменного согласия со стороны работодателя и императивных требований в государственных органов, о чем работник обязан предварительно письменно информировать работодателя.

— Работник уведомлен об ответственности за разглашение информации ограниченного доступа в соответствии с Трудовым кодексом Российской Федерации, Кодексом об административных правонарушениях, Уголовным кодексом Российской Федерации, а также имущественной ответственностью перед Работодателем за причиненный ущерб, связанный с разглашением ограниченного доступа.

Кроме того, Пищику А.М. предоставлен логин и пароль к нему для осуществления трудовой деятельности и работы в служебных программах. В соответствии с п. 10.1 трудового договора Пищик А.М. подтвердил, что при выполнении трудовых функций (обязанностей) у Работодателя ему предоставляются сведения, составляющие охраняемую законом тайну (коммерческую, служебную, персональные данные и иную информацию ограниченного доступа, относящуюся к таковой на основании Внутренних Документов Работодателя), касающаяся деятельности ПАО «ВымпелКом». В соответствии с п. 13.1 трудового договора, Пищик А.М. подтвердил, что надлежащим образом ознакомлен с внутренними документами работодателя, в том числе с Приложением Приказа от *** Правила пользования услугами информационных технологий; Порядком «Обращения с информацией ограниченного доступа», Приложением Распоряжения Р от *** «Процедура замены SIM-карт в собственных офисах Компании». При принятии на должность «Специалиста офиса обслуживания и продаж ПАО «ВымпелКом» Пищик А.М. ознакомлен с должностной инструкцией, в которой изложены должностные обязанности и ответственность за их несоблюдение, а так же права специалиста офиса обслуживания и продаж ПАО «ВымпелКом».


В 2019 году, но не позднее ***, к Пищику А.М. обратилось неустановленное лицо, являющееся пользователем в мессенджере , использующее учетную запись о смене регистрационных данных в отношении телефонного номера ***, зарегистрированного на имя А. , с целью изменения имеющихся в информационной системе оператора связи персональных данных клиента, то есть фамилию, имя, отчество, адрес, серию и номер паспорта, без получения согласия последней, то есть перерегистрировать телефонный номер с А. на имя П. , за денежное вознаграждение. В этот момент у Пищика А.М. из корыстной заинтересованности возник преступный умысел, направленный на осуществление неправомерного доступа к охраняемой законом компьютерной информации, содержащей персональные данные А. , принадлежащей ПАО «ВымпелКом», хранящейся в базе данных организации, с целью блокирования и модификации данной информации, с использованием своего служебного положения.

С этой целью, *** в период времени с *** часов *** минут до *** часов *** минуты Пищик А.М., являясь специалистом офиса обслуживания и продаж ПАО «ВымпелКом», находясь на своем рабочем месте в офисе обслуживания и продаж по адресу: г. Рубцовск, …, используя служебный компьютер, подключенный к программам и базам данных ПАО «ВымпелКом», используя свое служебное положение, осознавая общественную опасность и противоправный характер своих действий, предвидя возможность и неизбежность наступления общественно опасных последствий в виде модификации и блокирования для дальнейшего использования сети радиотелефонной связи владельцу SIM-карты, клиенту ПАО «ВымпелКом» — А. и, желая их наступления., действуя в нарушение Федерального закона Российской Федерации «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006, Федерального закона «О связи» № 126-ФЗ от 07.07.2003, Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ и разработанных в соответствии с ними Приложения распоряжения от *** «Об утверждении процедуры замены SIM-карты, процедуры замены SIM-карты пользователю, процедуры предоставления услуги «Детализация счета» для всех регионов Российской Федерации», а также иных служебных документов и инструкции ПАО «ВымпелКом», используя свое служебное положение и возможность доступа к компьютерной информации, а именно персональным данным клиентов ПАО «ВымпелКом», используя специальные служебные программы «аCRM», «CSM», установленные на рабочем компьютере в офисе обслуживания и продаж , расположенного по адресу: г. Рубцовск, …, а также личную учетную запись , предоставленную ему *** при трудоустройстве в ПАО «ВымпелКом» и пароль к ней, достоверно зная порядок и условия замены SIM-карты, предусмотренные внутренними нормативными документами ПАО «ВымпелКом» и являющимися обязательными для исполнения сотрудниками, требующие письменного заявления абонента об изменении в сведениях, о владельце и замене SIM-карты, осуществляющиеся при удостоверении личности абонента, не имея данных документов от легального владельца SIM-карты — А. , Пищик А.М., преследуя корыстный мотив, в целях получения денежного вознаграждения, осуществил неправомерный доступ к охраняемой законом компьютерной информации об абонентском номере *** клиента ПАО «ВымпелКом» А. , без ее ведома и согласия, содержащейся в базе данных ПАО «ВымпелКом», изменив данные о принадлежности номера на нового владельца SIM-карты — П. , что повлекло модификацию и блокирование информации о легальном владельце SIM-карты — А. , тем самым, лишив ее возможности получать услуги связи ПАО «ВымпелКом», получив впоследствии от неустановленного лица являющегося пользователем в мессенджере , использующего учетную запись , денежные средства в размере *** рублей, в виде платежа на принадлежащий ему счет платежной системы .

Таким образом, Пищик А.М. своими умышленными преступными действиями причинил вред владельцу SIM-карты, клиенту ПАО «ВымпелКом» — А. , в виде блокирования для дальнейшего использования сети радиотелефонной связи, совершив модификацию и блокировку охраняемой законом компьютерной информации.

В судебном заседании подсудимый Пищик А.М. вину в указанном преступлении признал полностью, поддержал ранее заявленное ходатайство о вынесении приговора без проведения судебного разбирательства, подтвердив, что ходатайство заявлено им добровольно, после проведения консультации с защитником. Характер и последствия заявленного ходатайства ему разъяснены, и он их осознает.

Препятствий для рассмотрения дела в особом порядке судом не установлено, все участники процесса согласились на рассмотрение дела в особом порядке.

Потерпевшая А. в судебное заседание не явилась, однако известила суд о возможности рассмотрения дела в её отсутствие и о своем согласии на рассмотрение дела в особом порядке.

Суд считает, что обвинение, предъявленное подсудимому Пищику А.М., обоснованно и подтверждается доказательствами, собранными по делу.

Действия подсудимого Пищика А.М. суд квалифицирует по ч. 3 ст. 272 УК РФ, как неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло блокирование и модификацию компьютерной информации, совершенный из корыстной заинтересованности, совершенный лицом, с использованием своего служебного положения.


При назначении наказания подсудимому Пищику А.М. суд учитывает характер и степень общественной опасности совершенного им преступления, относящегося к категории средней тяжести, личность виновного и обстоятельства, смягчающие наказание, а также влияние назначенного наказания на исправление осужденного и на условия жизни его семьи.

Суд признает и учитывает в качестве обстоятельств, смягчающих наказание, в отношении подсудимого Пищика, в силу ст. 61 УК РФ — первую судимость, полное признание вины, раскаяние в содеянном, активное способствование раскрытию и расследованию преступления, нахождение на иждивении малолетнего ребенка, оказание помощи престарелой родственнице — бабушки. Кроме того, суд учитывает, что Пищик А.М. участковым уполномоченным полиции характеризуется положительно.

Отягчающих наказание обстоятельств судом по делу в отношении подсудимого Пищика А.М. не установлено.

Учитывая совокупность имеющихся по делу смягчающих обстоятельств, указанных выше, суд находит возможным исправление и перевоспитание подсудимого Пищика без изоляции от общества и считает возможным назначить ему наказание в виде лишения свободы, с применением ст. 73 УК РФ — условное осуждение, с учетом положений ч.1 и ч.5 ст. 62 УК РФ.

Суд считает, что указанное наказание будет соответствовать задачам и принципам, закрепленным в ст.ст.37 УК РФ, в том числе принципам справедливости и гуманизма, а также целям наказания, закрепленным в ч.2 ст.43 УК РФ.

Оснований для назначения наказания подсудимому с применением ст. 64 УК РФ, а также для изменения категории преступления на менее тяжкую в соответствии со ст. 15 ч.6 УК РФ, суд не находит, учитывая при этом фактические обстоятельства преступления, конкретные обстоятельства дела и степень общественной опасности содеянного.

Суд в отсутствие сведений о нарушении психики у подсудимого Пищика А.М., принимая во внимание его правильную ориентацию в сложившейся ситуации, активную защиту, четкое восприятие судебного процесса и способность руководить своими действиями, признает Пищика А.М. вменяемым.

После вступления приговора в законную силу, вопрос о вещественных доказательствах подлежит разрешению в порядке ст.81 УПК РФ.

Процессуальные издержки (расходы на оплату вознаграждения адвокату) в соответствии с ч.10 ст. 316 УПК РФ, взысканию с подсудимого не подлежат.

На основании изложенного, руководствуясь ст. ст. 307309316 УПК РФ, суд

ПРИГОВОРИЛ:

Пищика А.М. признать виновным в совершении преступления, предусмотренного ч. 3 ст. 272 УК РФ и назначить наказание в виде 2 лет лишения свободы.

В силу ст. 73 УК РФ, наказание считать условным с испытательным сроком в 2 года, в течение которого обязать Пищика А.М. регулярно, один раз в месяц, являться для регистрации в уголовно-исполнительную инспекцию по месту жительства, не менять постоянного места жительства без уведомления инспекции, не совершать административных правонарушений.


P.S. Сформировал отдельный раздел Правоприменительная практика по ст.274.1 УК РФ Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации на главной страницы блога — https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube — канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite


Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Валерий Комаров

Об авторе Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Читать все записи автора Валерий Комаров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *