В России предлагают ужесточить наказание за кибератаки на основные информационные ресурсы страны

В Государственную Думу поступил законопроект, который существенно повышает планку уголовной ответственности за кибернападения на объекты критической информационной инфраструктуры. Авторы инициативы стремятся ликвидировать лазейки в действующем законодательстве и дать правоохранителям более точный инструмент для борьбы со злоумышленниками, парализующими работу стратегически значимых ресурсов.

Документ зарегистрировали 18 ноября депутаты Пётр Толстой, Анатолий Выборный и Виктор Селивёрстов. Главная цель поправок внести ясность в статью 274.1 Уголовного кодекса Российской Федерации, регулирующую нарушения правил эксплуатации систем хранения, обработки и передачи охраняемой компьютерной информации а также информационно-телекоммуникационных сетей.

Основная новация состоит в отказе от расплывчатой формулировки «причинение вреда». Вместо неё появляется чёткий список последствий, уничтожение информации, её блокировка, модификация либо несанкционированное копирование.

Анатолий Выборный в беседе с изданием «Коммерсантъ» пояснил, что поправки стали прямой реакцией на резкий всплеск атак на объекты критической инфраструктуры. По его убеждению, они позволят наконец-то ликвидировать существующие пробелы и привлекать взломщиков к реальному наказанию. Депутат отметил, что суды до сих пор нередко трактуют вред исключительно как копирование или изменение данных. В итоге простая блокировка сайта государственного учреждения, например социальной службы, могла остаться без уголовного преследования, хотя последствия для граждан оказывались весьма ощутимыми.

Законопроект вводит чёткое разделение ответственности, чтобы реакция закона соответствовала тяжести проступка. За грубые нарушения правил эксплуатации объектов критической инфраструктуры отвечать по уголовной статье будут прежде всего профильные специалисты, непосредственно отвечающие за их защиту. Рядовые сотрудники, чьи случайные ошибки привели лишь к минимальным сбоям, отделаются административным наказанием.

Анатолий Выборный привёл пример, что теперь под уголовку точно не попадёт врач, который просто забыл вовремя обновить пароль. Ведь его основные обязанности лежат в медицинской сфере, а не в обеспечении кибербезопасности системы в целом.

Алексей Захаров, директор по технологическому консалтингу Axiom JDK: «В условиях, когда компании становятся мишенью для кибератак из-за пренебрежения базовыми нормами безопасности, отсутствия чётких правил и непринятие проблем своей уязвимости, важно обеспечивать защиту компонент на всех уровнях IT-инфраструктуры. Это особенно касается корпоративных Java-приложений.

Использование защищённых российских компонент таких, например, как стек Axiom JDK, позволяет минимизировать риски, связанные с устаревшим и западным ПО, и существенно снизить уязвимости на уровне используемых библиотек, серверов приложений и контейнеров, благодаря регулярным обновлениям и поддержке современных стандартов безопасности.

Однако даже самая надежная технологическая архитектура, должна сопровождаться строгой внутренней дисциплиной, обучением сотрудников, внедрением политик ограничения доступов, применением многофакторной аутентификации и применение систем мониторинга инцидентов безопасности. Поскольку сегодня до 90% инцидентов происходят из-за человеческого фактора, то необходимо проводить всестороннюю образовательную работу как среди руководства организаций, так и среди сотрудников. Только комплексный подход — люди, процессы и технологии -мпозволяет построить действительно устойчивую систему защиты от эволюционирующих угроз информационной безопасности».

Алина Ледяева, эксперт компании StopPhish: «Появление четкого перечня последствий кибератак вносит ясность, что считается преступлением и кого привлекать к ответственности. Хакеры будут получать заслуженное наказание, без лазеек в формулировках.

Теперь уголовная ответственность будет ложиться на специалистов, отвечающих за защиту критической инфраструктуры, а не на рядовых сотрудников.

Но при этом большинство инцидентов по-прежнему происходит из-за человеческого фактора: переходов по сомнительным ссылкам, скачивания сторонних файлов, слабых паролей и отсутствия базовых знаний по ИБ. Поэтому закон будет эффективен только в связке с регулярным обучением и повышением осведомленности сотрудников».

Андрей Мишуков, генеральный директор iTPOTECT: «Формулировка «причинение вреда» при возбуждении уголовного дела влечёт необходимость доказать не только факт правонарушения, но и факт причинения какого-либо вреда. Как правило, ущерб от преступления можно оценить в деньгах, однако в случае с КИИ речь идёт о безопасности страны, а не только о материальных потерях как таковых.

Более чёткие формулировки, обозначающие конкретный характер несанкционированных действий, позволят правоохранительным органам фиксировать в действиях злоумышленников факты противоправных деяний без необходимости дополнительно доказывать причинение вреда в какой-либо форме. На мой взгляд, законодатель движется в правильном направлении. Задача Уголовного кодекса — предотвращать преступления и содействовать выполнению требований по защите критической информационной инфраструктуры. Поэтому такие изменения и более детализированное описание составов преступлений эффективно мотивируют участников рынка к защите информационных активов и, разумеется, к выполнению требований по безопасности КИИ».