Criminalistic characteristic of investigation of undue influence upon critical information structure of the Russian Federation

В настоящее время информационные технологии занимают важные позиции в функционировании любого государства и людей. Активность их внедрения нарастает с каждым годом и в ближайшей перспективе имеет своей целью цифровизацию самых различных сфер общественной жизни и деятельности государственных органов. Вместе с тем следует отметить, что имеются и отрицательные стороны информационной глобализации общества. Одной из них является высокая вероятность преступного воздействия на информационные системы, что повлечет не только нарушение их работы, но и причинение значительного ущерба юридическим и физическим лицам, а в отдельных случаях также и государственным интересам в целом. Для противодействия криминальной деятельности и ее предупреждения российское государство принимает соответствующие меры на уровне законодательной и правоприменительной деятельности. На противодействие преступной деятельности в этой сфере принят Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» № 187-ФЗ от 26 июля 2017 года. Федеральным законом № 194-ФЗ от 26.07.2017 года в Уголовный кодекс введена статья 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (Далее – ст. 274.1 УК РФ).

Принятие указанного федерального закона и дополнение УК РФ новой статьей, обусловлено распространением вирусов, атаковавших крупные российские фирмы, государственные органы и учреждения. Одним из них был вирус «Petya», распространение которого затронуло не только такие крупные компании, как «Роснефть», «Сбербанк», «Евраз», «Башнефть», «Хоум кредит», но и атомные электростанции, правительственные органы.

Вместе с тем, дела по статье 274.1 УК РФ рассмотрены только в судах 3 субъектов федерации по 5 уголовным делам спустя уже три года после принятия вышеназванного федерального закона. Данный факт обусловлен сложностью выявления и раскрытия неправомерного воздействия на критическую информационную структуру Российской Федерации, в связи с чем актуальность данного исследования бесспорна, учитывая, в том числе отсутствие методических пособий у следственных органов ФСБ, в чьей подследственности находится данная категория дел. Актуальность работы заключается в разработке краткого пособия по криминалистической характеристики преступлений, предусмотренных статьей 274.1 УК РФ. Каждое из 4 рассмотренных уголовных дел проанализируем позже.

Информационная технология – это четко регламентированный процесс, определяющий формы представления данных и порядок выполнения операций по переработке информации людьми и техническими средствами и приводящий к получению информационного продукта с заданными свойствами.

Для криминалистического исследования указанной преступной деятельности, предусмотренной ст. 274.1 УК РФ необходимо определить, прежде всего, понятие «критическая информационная инфраструктура Российской Федерации» (Далее-КИИ РФ), которая является предметом посягательства.

Согласно п. 6 ст. 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» № 187-ФЗ КИИ – это объекты критической информационной инфраструктуры, а именно: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

Субъектами КИИ являются государственные органы, государственные учреждения, российские юридические лица и индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей. С помощью таких документов, как лицензии на определенную деятельность в вышеперечисленных сферах, уставы и положения организаций, а также с помощью общероссийского классификатора видов экономической деятельности можно определить, относится ли государственный орган, учреждение или юридическое лицо, индивидуальный предприниматель к субъектам критической информационной инфраструктуре Российской Федерации. На субъектов КИИ возложена обязанность проводить соответствующее категорирование объектов, разрабатывать и осуществлять мероприятия по обеспечению их безопасности и информировать органы исполнительной власти и федеральной службы безопасности Российской Федерации о попытках криминального воздействия на них.

Расследование неправомерного воздействие на критическую информационную структуру Российской Федерации находится в подследственности Федеральной службы безопасности Российской Федерации.

Главной проблемой, возникающей при расследовании преступлений этой категории, является факт установления лиц, причастных к их совершению.

Субъектом преступления является любое вменяемое физическое лицо, которое достигло 16 летнего возраста. С криминалистической точки зрения данное лицо имеет достаточные знания в области информационных технологий, обладает компьютерной информацией, имеет соответствующие компьютерные программы, в том числе вредоносные, предназначенные для неправомерного воздействия на КИИ РФ.

С целью сокрытия следов преступления виновные лица устанавливают соответствующие компьютерные программы, которые уничтожают или искажают следы в информационных системах. Данное обстоятельство усложняет возможность выявления преступлений исследуемой категории.

Таким образом, с целью выявления и доказывания вины лица, причастного к совершению указанного преступления, необходимо устанавливать, с помощью каких средств воздействия произошла атака на объект КИИ РФ, какое количество компьютерных устройств использовалось с целью воздействия на КИИ РФ, применялись ли специальные программы для этого, кто является владельцем или собственником компьютерного устройства (устройств), с помощью которого осуществлялось воздействие, а также устанавливать иные материальные следы преступления, в том числе отпечатки пальцев с места совершения субъектом активных действий.

В Волгограде рассмотрено два уголовных дела в отношении лиц, обвиняемых в совершении преступления, предусмотренного ч. 1 ст. 274.1 УК РФ в 2019 и 2020 годах. Подробности уголовного дела 2019 года неизвестны за исключением информации о полном признании подсудимым вины, возмещением ущерба и в дальнейшем прекращением уголовного дела в суде с назначением судебного штрафа.

По второму уголовному делу, рассмотренному в особом порядке Советским районным судом города Волгограда в отношении сотрудника ОАО «РЖД», обвиняемого в совершении преступления, предусмотренного ч. 1 ст. 274.1 УК РФ, подсудимый признал вину в полном объеме и ему назначено наказание с применением статьи 64 УК РФ с учетом характеристики личности в виде лишения свободы на 2 года на основании статьи 73 УК РФ с испытательным сроком 2 года. Согласно приговору суда подсудимый с помощью компьютерной программы «Бот» прошел тестирование знаний техническо-распорядительных актов железнодорожных станций и сформировал положительный результат тестирования, то есть совершил неправомерное воздействие на КИИ РФ путем использования компьютерных программ, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для модификации информации, содержащейся в ней.

Часть 3 статьи 274.1 УК РФ предусматривает специального субъекта преступления, который имеет доступ к объекту КИИ РФ, на которого возложены обязанности по соблюдению правил доступа или эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, или информационных систем (Далее-ИС), информационно-телекоммуникационных сетей (Далее-ИТС), автоматизированных систем управления (Далее-АСУ), сетей электросвязи, относящихся к КИИ.

В случае расследования по ч. 3 ст. 274.1 УК РФ, кроме вышеуказанных действий, необходимо устанавливать: круг лиц, которые имели доступ к компьютерному устройству; сотрудника, с помощью компьютерного устройства которого произошло воздействие; факт использования данного компьютерного устройства удаленно.

Обязательным признаком части 4 статьи 274.1 УК РФ является совершение преступления группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения.

Так, например, уголовное дело № 1-368/2019 в отношении сотрудницы субъекта критической информационной инфраструктуры 25 сентября 2019 года рассмотрено во Владивостоке в особом порядке, подсудимая признана виновной в совершении преступления, предусмотренного ч. 4 ст. 274.1 УК РФ и ей назначено наказание в виде лишения свободы на 3 года на основании статьи 73 УК РФ условно с испытательным сроком 2 года с лишением права заниматься деятельностью, связанной с доступом к критической информационной инфраструктуре РФ сроком на 2 года.

В суде установлено, что подсудимая, занимая должность менеджера отдела продаж и обслуживания в одном из предприятий связи и владея необходимой информацией функционирования специальной автоматизированной системы и работе в ней, будучи лицом, имеющим доступ к компьютерной информации, в которой содержались сведения о персональных данных абонентов, в день увольнения осуществила их копирование. Без предварительного сговора со своим знакомым, но по его просьбе отправила ему на электронный адрес скопированные из специальной автоматизированной системы сведения. То есть совершила неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, что повлекло причинение вреда критической информационной инфраструктуре Российской Федерации с использованием своего служебного положения.

При расследовании преступлений, предусмотренных ч. 3 и ч. 4 ст. 274.1 УК РФ особое внимание необходимо уделять установлению и доказыванию служебного статуса субъекта. Материалы уголовного дела должны содержать достаточное количество доказательств, подтверждающих права и обязанности у подозреваемого (обвиняемого) иметь доступ к объекту критической информационной инфраструктуры и соблюдать правила доступа и эксплуатации средств хранения, обработки или передачи вышеперечисленных элементов, а также доказательств, подтверждающих служебное положение лица (нормативные правовые акты, в соответствии с которыми лицо назначено на должность, приказы о его приеме на работу и назначении на должность, копия трудовой книжки или послужной список, должностная инструкция, положение о должности, или положение об организации либо контракт, регламент, а также правовые и нормативные акты, регулирующие деятельность и поведение субъекта, табель его рабочего времени и личное дело).

В части доказывания совершения преступлений, предусмотренных ст. 274.1 УК РФ группой лиц по предварительному сговору и организованной группой, следствие устанавливает связи участников преступления, роль каждого из них, временной период достижения договоренности о совершении преступления, подготовки к его совершению и непосредственной реализации преступного умысла. Необходимо устанавливать, кто являлся исполнителем преступления, кто организатором, а кто пособником или подстрекателем.

По второму уголовному делу, рассмотренному во Владивостоке, №1-376/2019 к уголовной ответственности привлечена группа лиц в количестве трех человек, каждому из которых согласно приговору от 25.09.2019 назначено наказание в виде лишения свободы на 2 года на основании статьи 73 УК РФ с испытательным сроком на 2 года с лишением права заниматься деятельностью, связанной с доступом к критической информационной инфраструктуре РФ сроком на 2 года.

Согласно приговору №1-376/2019 от 25.09.2019 подсудимые, имея умысел, направленный на неправомерный доступ к компьютерной информации различных организаций, вступили между собой в преступный сговор, направленный на совместное совершение преступлений, связанных с неправомерным доступом к компьютерной информации различных организаций и извлечением от указанной преступной деятельности незаконного дохода. Распределяя между собой преступные роли, подсудимый №1 принял на себя обязательства по аренде иностранных серверов и установки на них вредоносных компьютерных программ, предназначенных для нейтрализации средств защиты компьютерной информации путём перебора логина и пароля; сканированию диапазона IP-адресов в целях выявления открытых портов блокированию и модификации компьютерной информации; обязательства по регистрации электронной почты, используемой для переписки с пользователями атакованных ЭВМ и регистрации кошельков виртуальных активов криптовалюты «биткойн», используемых для выдвижения требований пользователям атакованных ЭВМ, а также по распределению преступной прибыли. В свою очередь, подсудимые №2 и №3 приняли на себя обязательства по неправомерному доступу к компьютерной информации и её шифрованию с использованием вредоносных компьютерных программ путем: сканирования диапазона IP-адресов в целях выявления открытых портов; нейтрализации средств защиты компьютерной информации посредством перебора логина и пароля; блокирования и модификации компьютерной информации с использованием вредоносных компьютерных программ. Подсудимый № 1 с целью выявления уязвимых машин (персональных компьютеров различных организаций), осуществил нейтрализацию средств защиты компьютерной информации путём перебора логина и пароля (брутфорс), и произвел сканирование диапазона IP адресов Российской Федерации в целях выявления открытых портов и дальнейшей проверки их на наличие возможности удаленного к ним доступа по RDP протоколу. Полученную информацию об IP-адресах, номерах портов подключения, логинах и паролях доступа к ЭВМ, а также имеющуюся у него в распоряжении вредоносную компьютерную программу, которую он ранее скачал из сети Интернет, подсудимый №1 поместил на заранее арендованном им сервере с IP-адресом, сообщив о проделанной работе другим подсудимым путем переписки в телеграмм-канале. В свою очередь, подсудимые №2 и №3, находясь у себя дома, с помощью ноутбуков, действуя совместно, согласно достигнутой ранее преступной договоренности, используя предоставленную подсудимым №1 информацию о выявленных IP-адресах, номерах портов подключения, логинах и паролях доступа к ЭВМ, используя компьютерную программу получили удалённый доступ к ЭВМ АО «Восточная верфь», после чего, осуществили неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации путем ее блокирования и модификации, что повлекло причинение вреда КИИ АО «Восточная верфь», и причинение имущественного вреда указанной организации на сумму 655 034,52 рублей. Впоследствии подсудимые потребовали выкуп у должностных лиц АО путем указания в качестве связи для разблокирования компьютерной информации, содержащейся в КИИ, адреса электронной почты, а для получения имущественных выгод кошелёк виртуальных активов криптовалюты «биткойн».

При расследовании преступлений исследуемой категории, совершенных группой лиц возникает проблема в установлении всех участников преступления. При вменении такого квалифицирующего признака, как совершение преступления группой лиц, следует устанавливать возможность совершения данного преступления одним лицом. В случае использования нескольких компьютерных устройств, как в рассмотренном выше примере, при неправомерном воздействии на КИИ РФ устанавливать возможность управления данными устройствами из одного центра.

Объектом преступления, предусмотренного рассматриваемой статьей являются общественные отношения, складывающиеся при обеспечении нормальной работы, функционированию электронных вычислительных машин, сетей и систем электронных вычислительных машин, которые относятся к объектам критической информационной структуры Российской Федерации.

Так, например, первое уголовное дело по обвинению лица в совершении преступления, предусмотренного ст. 274.1 УК РФ возбуждено в Камчатском крае, где впоследствии рассмотрено 31 мая 2019 года. Объектами критической информационной инфраструктуры и одновременно объектами посягательства являлись два сайта Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. На сайты была совершена DDoS-атака, то есть атака с использованием специального программного обеспечения, осуществляющего перегрузку атакуемого интернет-ресурса, вследствие чего атакуемый интернет-ресурс «отказывает в обслуживании» третьим лицам, подающим заявку на его посещение. Блокирование информации путем затруднения к ней доступа судом признано, как неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

DDoS-атака осуществлялась на сайты в течении 30 минут, вместе с тем отметим, что с уголовно-правовой точки зрения продолжительность такой атаки не влияет на квалификацию. Влияние оказывает только тяжесть последствий. По результатам рассмотрения уголовного дела подсудимый полностью признал вину и раскаялся в содеянном.

Предметом преступления выступают технические средства, которые используются для хранения, обработки и передачи компьютерной информации (электронные вычислительные машины, сети и системы электронных вычислительных машин, носители информации), которая относится к критической информационной инфраструктуре Российской Федерации.

Вместе с тем, хотелось бы отметить, что субъективная сторона частей 2 и 3 ст. 274.1 УК РФ в отличие от части 1 указанной статьи характеризуется, как умышленной виной, так и в форме неосторожности (легкомыслия или небрежности).

Объективная сторона каждой части статьи 274.1 УК РФ определена согласно диспозиции частей исследуемой статьи и выражается как в форме действия, так и в форме бездействия. Событие рассматриваемого преступления заключается в создании, распространении и (или) использовании компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на КИИ РФ, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации.

Событие преступления, предусмотренного ч. 2 ст. 274.1 УК РФ заключается в неправомерном доступе к охраняемой компьютерной информации, содержащейся в КИИ РФ, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на КИИ РФ, или иных вредоносных компьютерных программ.

Кроме того, особое внимание следует уделить тому факту, что состав преступлений, предусмотренных ч.ч. 2, 3 ст. 274.1 УК РФ, образуется только при наступлении последствий, повлекших причинение вреда критической информационной инфраструктуре Российской Федерации, а ч. 5 ст. 274.1 УК РФ при наступлении тяжких последствий. В рамках следствия обязательно устанавливается причинно-следственная связь между деянием и наступившими неблагоприятными последствиями.

При расследовании преступлений, предусмотренных ч. 3 ст. 274.1 УК РФ необходимо установить, какой конкретно нарушен пункт правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, или ИС, ИТС, АСУ, сетях электросвязи, относящихся к КИИ.

Вместе с тем, для уголовно-правовой квалификации необходимо определить степень тяжести последствий, указанных в ч. 5 ст. 274.1 УК РФ. Судебная практика по указанной части статьи в настоящее время только формируется. Однако имеется судебная практика по иным статьям, в том числе по ч. 4 ст. 272 УК РФ, ч. 2 ст. 201 или п. «в» ч. 2 ст. 205, где состав преступления образуется только при наступлении тяжких последствий. Тяжкие последствия – это оценочное понятие и должно рассматриваться судом в каждом конкретном случае отдельно. Вместе с тем, постановлением Пленума Верховного Суда Российской Федерации от 9 февраля 2012 г. N 1 г. Москва «О некоторых вопросах судебной практики по уголовным делам о преступлениях террористической направленности» судам разъяснено, как оценивать тяжкие последствия при рассмотрении уголовных дел по обвинению виновных лиц в совершении преступления, предусмотренного п. «в» ч. 2 ст. 205 УК РФ. Согласно пункту 8 указанного постановления к иным тяжким последствиям применительно к пункту "в" части 2 статьи 205 УК РФ могут относиться, в частности, причинение тяжкого вреда здоровью хотя бы одному человеку, средней тяжести вреда здоровью двум и более лицам, дезорганизация деятельности органов государственной власти и местного самоуправления; длительное нарушение работы предприятия (предприятий) и (или) учреждения (учреждений) независимо от их ведомственной принадлежности, формы собственности, организационно-правовой формы; существенное ухудшение экологической обстановки (например, деградация земель, загрязнение поверхностных и внутренних вод, атмосферы, морской среды и иные негативные изменения окружающей среды, препятствующие ее сохранению и правомерному использованию, устранение последствий которых требует длительного времени и больших материальных затрат). При решении вопроса о том, явилось ли нарушение работы предприятия или учреждения длительным, судам надлежит исходить из конкретных обстоятельств дела, учитывая при этом специфику их деятельности, общую продолжительность приостановления работы, размер причиненных им убытков и т.д. Однако следует отметить, что тяжкими последствиями применительно к ч. 5 ст. 274.1 УК РФ могут признаваться и иные тяжкие последствия.

Аналогичная коллизия возникает при разрешении вопроса о наличии вреда критической информационной инфраструктуре Российской Федерации. Однако необходимо отметить, что наступление вреда согласно ч.ч. 2, 3 ст. 274.1 УК РФ имеет наименьший вред, чем тяжкие последствия, о которых указано в ч. 5 ст. 274.1 УК РФ.

Размер вреда также является оценочным понятием. Вместе с тем, согласно п. 2 Примечания к ст. 272 УК РФ крупным ущербом в статьях главы 28 УК РФ признается ущерб, сумма которого превышает один миллион. Соответственно в статье 274.1 УК РФ рассматривается ущерб в денежном эквиваленте, который не превышает один миллион.

Кроме того, согласно абз. 2 п. 20 Постановления Пленума Верховного Суда РФ от 30 ноября 2017 г. № 4 «О судебной практике по делам о мошенничестве, присвоении и растрате» мошенничество в сфере компьютерной информации, совершенное посредством неправомерного доступа к компьютерной информации или посредством создания, использования и распространения вредоносных компьютерных программ, требует дополнительной квалификации по статье 272, 273 или 274.1 УК РФ.

Также необходимо устанавливать обстановку совершения данных преступлений, что важно для их предупреждения и профилактики. Следователь в порядке ст. 158 УПК РФ вносит мотивированное представление в организацию или государственное учреждение, орган об устранении нарушений действующего законодательства, которое привело к совершению данного преступления. Как правило, обстановкой, способствующей совершению криминальной деятельности, является недостаточная информационная и иная защита объектов КИИ РФ.

Как указывалось ранее, в настоящее время правоприменительная практика по ст. 274.1 УК РФ крайне мала, а существующая свидетельствует о возможности расследования правоохранительными органами преступлений исследуемой категории только при признательных показаниях виновных лиц (по всем уголовным делам обвиняемые сотрудничали со следствием, четыре уголовных дела рассмотрены в особом порядке, а одно прекращено в суде с назначением судебного штрафа). Однако это не свидетельствует о законодательных упущениях, допущенных при разработке данной нормы, с уголовно-правовой точки зрения. Все преступления в сфере информационных технологий имеют высокую латентность. В связи с тем, что в настоящее время практически отсутствует судебная практика, методические пособия, рекомендации по расследованию и выявлению преступлений, предусмотренных ст. 274.1 УК РФ, преступления исследуемой категории имеют еще большую латентность по сравнению с другими преступлениями главы 28 УК РФ. На основании изложенного, полагаю необходимым, разрабатывать методические пособия, рекомендации, нормативно-правовые и локальные акты по выявлению, расследованию и предупреждению преступлений данной категории.