Тюрьма или штраф: в Госдуме рассказали SecPost о градации наказания за киберинциденты на КИИ

У судей появится выбор

Госдума в конце января приняла в первом чтении законопроект о введении штрафов за нарушение правил эксплуатации объектов критической информационной инфраструктуры (КИИ) РФ, а также законопроект об освобождении от уголовной ответственности за преступления в этой сфере, если совершивший их активно способствовал расследованию. В случае принятия закона (после принятия законопроекта в трех чтениях, одобрения Совфеда и подписи президента РФ) Кодекс РФ об административных правонарушениях дополнится статьей о нарушении правил эксплуатации объектов КИИ. За такое нарушение, если оно не содержит признаков преступления, предлагается установить штрафы для граждан в размере от 5 до 10 тысяч рублей, для должностных лиц — от 10 до 50 тысяч рублей, для юрлиц — от 100 до 500 тысяч рублей. До 10 февраля профильный комитет Госдумы по госстроительству и законодательству собирает поправки.

Сейчас за неправомерное воздействие на КИИ установлена только уголовная ответственность. Максимальный тюремный срок, который грозит виновному, составляет 10 лет. Преступлением в случае принятия закона будет считаться неправомерный доступ к охраняемой компьютерной информации, если он повлек уничтожение, блокирование, модификацию либо копирование компьютерной информации, содержащейся в российской критической информационной инфраструктуре. То есть законодатели конкретизировали понятие «вред» в данной статье УК РФ.

Законопроекты как раз дают судьям право выбирать штраф, если будет доказано, что сбой в работе объекта КИИ был ненамеренным, пояснил SecPost источник в Госдуме, знакомый с разработкой законопроекта. По его словам, целью законопроекта, в частности, является защита рядовых специалистов от уголовного преследования за технические ошибки. Речь, например, идет об инженерах и IT-специалистах.

Как отметил один из авторов законопроекта, зампред думского комитета по безопасности и противодействию коррупции Анатолий Выборный, нарушение правил эксплуатации объектов КИИ РФ включает в себя киберинциденты, которые касаются средств хранения, обработки или передачи охраняемой компьютерной информации, а также правил доступа к указанной информации, системам и сетям. В разговоре с SecPost депутат подчеркнул, что в настоящее время за нарушения правил эксплуатации объектов КИИ, которые повлекли причинение вреда, установлена уголовная ответственность. За нарушение этих же правил, при условии, что они не повлекли причинение вреда, ответственности не предусмотрено.  Данный недочет и предлагается устранить, сказал Выборный.

«Принятый в первом чтении пакет законопроектов создает комплексную систему ответственности: от административной за процедурные нарушения до уточненной уголовной за причиненный вред», — пояснил он.

Согласно данным на сайте Судебного департамента при Верховном суде РФ, количество преступлений по статье 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» незначительно, однако приговоры почти всегда разные. Например, в 2022 году лишь два человека были осуждены за неправомерное воздействие на критическую информационную инфраструктуру, совершенное группой лиц по предварительному сговору, организованной группой или лицом с использованием своего служебного положения. Они получили от 2 до 3 лет лишения свободы.

В 2023 году также два человека были осуждены, но на сроки до двух лет. Им вменили создание, распространение, использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на КИИ, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации.

В статистических данных на сайте судебного департамента не приводятся конкретные сроки наказания, но указаны диапазоны тюремных сроков, к которым были приговорены подсудимые. Так, в 2024 году российские судьи признали виновными по данной статье 6 человек. Причем действие одного из них повлекли тяжкие последствия, то есть длительную приостановку или нарушение работы предприятия, получение доступа к информации, составляющей охраняемую законом тайну, предоставление к ней доступа неограниченному кругу лиц, причинение по неосторожности смерти, тяжкого вреда здоровью хотя бы одному человеку. Его тюремный срок находится в диапазоне от 3 до 5 лет.

Также тюремные сроки в 2024 году по таким делам находились в диапазонах от 2 до 3 лет, а также до 2 лет и до 1 года. Стоит отметить, что, согласно статистике, двум виновным наказание назначено ниже низшего предела лишения свободы. Подробности этих приговоров в статистике не указаны. Кроме того, опять же по двум делам были назначены штрафы: от 25 до 100 тысяч рублей и от 100 до 300 тысяч рублей. За первое полугодие 2025 года (дальше статистики пока нет) по данной статье были осуждены два человека на сроки в диапазонах от 1 до 2 лет и от 2 до 3 лет. При этом один из них был наказан рублем – штраф от 300 до 500 тысяч рублей. То есть судьи и раньше применяли наказание за такие преступления в виде штрафа, но лишь вдобавок к реальному сроку.

Реакция рынка

Принятый Госдумой законопроект уточняет границы ответственности и позволяет разделять умышленные нарушения, эксплуатационные ошибки и человеческий фактор, считают в пресс-службе «Мегафона». В компании уверены, что такая инициатива сохранит кадры, устранит риски вымывания профильных специалистов и сделает условия работы в отрасли более прогнозируемыми.

«Актуальность темы связываем с тем, что устойчивость и безопасность цифровых систем сегодня особенно важны для работы органов власти, социальной сферы и ключевых отраслей экономики», — отметили в пресс-службе.

Авторы законопроекта, к слову, как раз и преследуют цель сохранения кадров, если верить пояснительной записке к законопроекту. Там говорится, что «в целях устранения риска вымывания кадрового состава специалистов органов власти и подведомственных организаций» и необходимо ввести еще и административную ответственность в отношении лиц, обеспечивающих функционирование и эксплуатацию объектов критической информационной инфраструктуры РФ, а также пользователей объектов КИИ, например, медицинских работников. Как сказал SecPost источник в Госдуме, знакомый с разработкой законопроекта, специалисты, обеспечивающие функционирование объектов КИИ, должны понимать, что они рискуют даже в случае обычного копирования информации на флешку или модификация этой информации, если был нанесен ущерб.

Основатель «Суверенной мобильной инициативы», экс-президент и соучредитель «Национальной компьютерной корпорации» (НКК) Александр Калинин напомнил, что ранее была опубликована статистика ФСТЭК, согласно которой из 1200 проверенных объектов КИИ менее 40% защищены даже минимально, ранее об этом писал SecPost.

«Это итог ненадлежащего исполнения своих обязанностей сотрудниками объектов, при этом в настоящий момент законодательно не определенно, кто именно отвечает за уровень защищенности объекта КИИ, поскольку это комплексное понятие, включающее: уровень информационной безопасности, различные ресурсы, принятие соответствующих решений», — отметил он.

По мнению Калинина, сначала необходимо определить и законодательно закрепить зоны ответственности, а после уже назначать наказание. В контексте потенциального вымывания специалистов Калинин подчеркнул, что на рынке действительно существует дефицит специалистов по информационной безопасности.

«Считаю, что идея законопроекта возникла сейчас, поскольку ФСТЭК совместно с ФСБ приступили к соответствующим проверкам и начали реально привлекать компании к ответственности, плюс вступили в действия оборотные штрафы, и Минцифры России планирует и дальше рассматривать вопрос об их увеличении», — добавил специалист.

Как ранее писал «Интерфакс» со ссылкой на главу Минцифры РФ Максута Шадаева, министерство готовит законопроект, предусматривающий введение оборотных штрафов для компаний, которые в установленный срок не перевели свои значимые объекты критической информационной инфраструктуры (КИИ) на российское программное обеспечение (ПО). Оборотные штрафы также предлагаются для компаний, которые не классифицировали свои объекты КИИ как значимые. В апреле 2025 года президент РФ Владимир Путин подписал закон, предусматривающий переход субъектов КИИ на преимущественное использование российского ПО.

Как объяснил патентный поверенный UserGate Александр Киселев, опасения по поводу проблем с кадрами, имеющими доступ к объектам КИИ, имеют основания. Если руководствоваться действующей статьей УК РФ, сотрудник, случайно открывший опасное вложение к служебной корреспонденции, уже находится под угрозой уголовного преследования, отметил он.

«В этом случае полезно было бы разграничить сознательное причинение ущерба и действия или бездействие гражданина, которые повлекли за собой причинение ущерба, но причинение ущерба не являлось целью указанных действий (бездействия)», — сказа Киселев.

В качестве примера он привел случаи, когда служебная корреспонденция с опасным вложением попала в почту сотрудника в связи с отказом работы корпоративной антивирусной системы, или хакерская атака оказалась успешной по причине отсутствия заболевшего системного администратора.

«Вопросы персональной ответственности в подобных случаях определяются должностными инструкциями, а основное бремя ответственности должен нести организатор, а не исполнитель работ», — уточнил специалист