Весна, карантин и прорастающая рассада на подоконнике вдохновили на забавное название поста.
Но содержание его вполне серьезное.
я работаю в ПоискИнформ Раньше я часто слышал мнение, что DLP-система и суд — понятия несовместимые.
Мол, эта игра не стоит свеч.
Так было 9 лет назад, когда основной причиной нежелания обращаться в суд была «бумажная» неподготовленность компании к этапу Pre-DLP. Другой причиной стала неуверенность (иногда обоснованная), что суд не захочет вникать в тонкости защиты информации с помощью специализированного программного обеспечения.
Однако в последние пару лет эта позиция звучит все реже.
Мне было интересно, изменилась ли ситуация в судах или люди просто устали.
Поэтому с одобрения руководства мы с коллегой сели за поиск и анализ дел, которые в 2019 году рассматривались судами по четырем статьям УК РФ о манипулировании компьютерной информацией.
Результаты под катом.
Нас интересовали случаи мошенничества с документами, базами данных и любой конфиденциальной информацией с использованием служебного положения.
Это нарушения, предусмотренные статьями УК РФ:
- 183 (части 2 и 3) – незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну;
- 272 (части 1, 2 и 3) – неправомерный доступ к компьютерной информации;
- 159.6 (часть 3) – мошенничество в сфере компьютерной информации;
- 138 (часть 2) — нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.
- Почему именно эти статьи? Выбор статей УК РФ был продиктован деятельностью компании.
Они представляют для нас первостепенный интерес.
Но поскольку исследование (теперь) решено проводить ежегодно, мы готовы расширить список.
Вряд ли вам удастся охватить все, но кто знает?
- Откуда дрова? Согласно 262-ФЗ, суды обязаны публиковать тексты дел, но не всех ( подробности здесь ).
Таким образом, мы смогли без ограничений видеть количество рассмотренных дел, решения по ним, но содержание – не по всем.
Тем не менее, даже с учетом ограничений, статистика sudrf.ru рисует весьма живописную картину.
- Насколько полно исследование? Максимально полный.
Во-первых, материалы на публичных ресурсах публикуются не сразу.
Задержка около месяца.
Во-вторых, некоторые дела при рассмотрении приобретают разный правовой статус.
В-третьих, есть апелляции.
Поэтому в 2019 году есть как дела «изначально» прошлых лет, так и те, которые были начаты, но перенесены в 2020 год. Наконец, в-четвёртых.
Есть дела с обвинениями сразу по нескольким статьям.
Например, ст. 138 часто «идет в паре» со ст. 272. В результате в рамках статистических расчетов мы отнесли такие случаи к обеим группам.
И тем не менее, в каждом случае информация не раз перепроверялась, сводилась с огромного листа юридического языка в абзац человеческого языка - по существу.
Идти.
За что их судили?
Больше всего претензий предъявлено нарушителям из телеком-отрасли, на них приходится около 70% дел.Но такая ситуация возникает в основном из-за массового масштаба нарушений.
по статье 138 (часть 2) – нарушение тайны переписки.
Операторы связи и их дочерние компании подают в суд на сотрудников за неправомерный доступ к информации о деталях звонков.
Обстоятельства дел обычно очень схожи.
Сотрудники получают доступ к данным без служебной необходимости из-за желания продать информацию о разговорах абонентов (так называемый «прорыв»).
Реже встречались случаи «утечки дружбы», когда мотивом действия было желание бескорыстно помочь другу.
К сотрудникам салонов связи/операторам связи часто обращаются со стороны – за определенную плату запрашивают информацию.
Как правило, она очень скромная – не более нескольких сотен рублей.
Также часто судят сотрудников телекоммуникационной отрасли.
по статье 272 (части 1, 2, 3, неправомерный доступ к информации) .
Самый распространенный сценарий – внесение изменений в базу данных с целью замены сим-карты.
Такое положение дел совсем не радует, поскольку.
сотрудник манипулирует информацией, как правило, с целью вывода денег со счета абонента( как в этом случае ) или за плату по требованию третьего лица ( как здесь ).
Распределение требований по отраслям, статья 272
Есть и другие мотивы.
В одном случае осужденный переиздан Сим-карты знакомых ей клиентов «из мести и неприязни»: она заходила на их аккаунты в соцсетях, где размещала компрометирующую информацию.
Несколько приговоров было вынесено против сотрудников, которые из мести удалили или повредили информацию на сайтах своих организаций.
После его увольнения ИТ-специалист районного суда вошел в систему управления сайтом под чужим паролем, изменил доступ и удалил там информацию (есть 645 событий удаления, включая целые разделы).По остальным статьям обстоятельства происшествий не столь однообразны.Кстати, пароль злоумышленник нашел прямо на своем рабочем месте — он был записан на листке бумаги, оставленном в серверной.
Осужденный приговорен к шести месяцам исправительных работ с удержанием 10% заработка в доход государства ( ссылка на его дело ).
К 183 Ст. (Часть 2 и Часть 3, разглашение коммерческой, налоговой или банковской тайны) Также часто осуждаются сотрудники операторов связи и сотрудники цехов связи (40%), но столько же представителей банковского сектора попадают в суд.
Сотрудник получил доступ к специализированной программе, когда был один в офисе.Найдя в базе информацию о нужном клиенте (а он искал конкретных лиц), сотрудник получил доступ к полным персональным данным, счетам клиентов, открытым счетам во всех отделениях банка, остаткам, данным о совершенных операциях.
Всего в деле указывается, что специалист выполнил 514 операций по сбору информации о счетах 110 клиентов.
В большинстве случаев после просмотра информации я входил в учетные записи конкретных клиентов и распечатывал детали.
Банк провел расследование данных действий, в ходе которого выяснилось, что, скорее всего, сотрудник использовал счета клиентов, чтобы без их ведома «загнать» деньги для дальнейшего обналичивания.
Такой вывод был сделан потому, что проследили взаимосвязь: сотрудник банка распечатал реквизиты счета, и в течение недели на эти счета поступили деньги от юридических лиц.
При этом сами клиенты сообщили, что не знали о зачислении денег на их счета ( ссылка на дело ).
Распределение претензий по отраслям, статья 183 К Искусство.
159,6 рассматривать дела, связанные с изменением информации – файлов, баз данных.
В прошлом году по этой статье было принято 79 решений, однако в открытом доступе опубликовано недостаточно текстов об официальных нарушениях, поэтому сложно сделать выводы о типичных причинах, по которым работодатели обратились в суд. Самый примечательный случай, информация о котором опубликована, — история сотрудницы ульяновского отделения крупного федерального банка.
В программе по работе с платежными картами клиентов он несколько раз увеличивал лимит на своей карте, а позже и на карте своего сообщника.
Сначала суммы были небольшими, затем выросли – до 25,9 млн руб.
Красноречивее, чем сухой юридический текст Новости в местных СМИ о «крупнейшем киберинциденте» в регионе.
Журналисты описали судебный процесс над сообщником сотрудника банка.
Он помог снять деньги и на них купил шесть дорогих автомобилей (Audi, Volvo, Mercedes-Benz), золотые слитки, мобильные телефоны, ювелирные изделия и другие товары.
Все это богатство он тут же продал, чтобы легализовать украденные средства.
Он предстал перед судом в январе 2019 года.
Но нас интересует процесс против чиновника.
Его поймали позже, суд над ним состоялся летом( ссылка на дело ).
Мне дали 5 лет и 3 месяца колонии общего режима и штраф 250 тысяч рублей.
Бизнес плохо защищает свои интересы
Для наших клиентов мы также постарались найти в судебной статистике случаи, раскрывающие детали корпоративного мошенничества, когда жертвой является сама компания.Подобные дела рассматриваются в основном по статье 183 (разглашение коммерческой тайны).
Такие претензии есть, но они гораздо реже.
Вот два примера:
Сотрудник страховой компании выгрузил данные из системы и передал информацию конкурирующей компании по корпоративной почте.Всего в решении суда говорится о 45 эпизодах.
Суд прекратил дело и наложил штраф в размере 10 тысяч рублей.
В аналогичном иске против работника производственной компании наказание составило 1,5 года исправительных работ с удержанием 20% заработка в доход государства (ссылка на текст).
первый случай И второй ).
Распределение претензий по отраслям, данные по 4 статьям Получается, что компании гораздо охотнее обращаются в суд под угрозой имиджевых рисков, когда «лицу» можно серьезно пострадать.
Они предпочитают защищать свои интересы в досудебном порядке; большинство просто увольняют нарушителей (60% по нашим данным).
исследовать ).
Наказания
Наказания, примененные согласно ст. 272 (части 1, 2, 3), 183 (части 2, 3), 138 (части 2) Что касается наказаний, то примечательно, что преступления, связанные с передачей персональных данных и деталей переговоров, наказываются достаточно мягко.
Часто в приговорах встречается отсылка к статье 73 УК РФ (Условное наказание).
И хотя конкретного указания на этот пункт нет, скорее всего, речь идет о пункте 2: При назначении условного наказания суд учитывает характер и степень общественной опасности совершенного преступления, личность виновного, в том числе смягчающие и отягчающие обстоятельства.
Логика, видимо, такая: нарушения совершались «по глупости» или из мелкой корысти, а наказание носит как бы воспитательный характер.
Но эти вещи обманчиво безобидны.
Персональные данные представляют интерес для неограниченного числа злоумышленников и могут находиться в свободном доступе неограниченное время.
Применение штрафа в качестве наказания в рамках осуждения по статьям
Но на что суд обращает гораздо больше внимания, так это на те утечки и несанкционированный доступ, которые связаны или могут привести к изменению личной информации или краже денег со счетов.
Так, согласно статье 272, гораздо чаще назначается не штраф, а условное наказание или ограничение свободы.
Но соразмерность штрафа и наказания и здесь вызывает вопросы.
Вот пример.
Один из самых маленьких штрафов - 5 тысяч рублей - суд наложил на сотрудника Федеральной миграционной службы, который по требованию знакомого удалил информацию о судимости с одной карты базы данных "Мигрант-1".По остальным трем статьям наиболее распространенным решением является прекращение дела и наложение судебного штрафа - от 8 до 110 тысяч рублей (подсудимый признает вину, уплачивает штраф, судимости не получает).Он смог сделать это из дома, используя удаленный доступ к базе данных ( случай ).
Чаще всего суд освобождал тех, кого судили по ст. 138, часть 2 – нарушение тайны переписки.
По этой статье судебный штраф был назначен в 63% случаев.
Если дело доходило до приговора, то самым распространенным наказанием был штраф – в 31% случаев.
Чуть реже судьи наказывали условным наказанием и ограничением свободы – всего в 29% случаев.
Реальный срок предусмотрен в качестве наказания по всем рассматриваемым статьям.
Но судьи этим почти не пользуются.
В рассмотренных делах к ним были применены санкции только один раз — за вывод из банка 25+ миллионов рублей (об истории говорилось выше).
Общий
Выводы можно сделать разные.Например, что жизнь, как всегда, богаче любого вымысла: любопытство, корысть, месть, глупость, ошибка – мотивов, по которым люди посягают на чужую информацию, масса.
У меня и моего коллеги есть свои соображения по поводу «СРК».
За весь 2019 год мы насчитали в судах 327 дел по всем четырем статьям в тех частях, которые были указаны в начале поста.
По данным ежегодного Исследовательский опрос от компаний, которые утверждают, что только 12% компаний обращаются в суд, общее количество исков, очевидно, может быть значительно выше.
Хотят ли компании обращаться в суд? Да и нет. В суд они обращаются либо для того, чтобы поддержать имидж добрых и справедливых людей, либо когда возникает суета и бездействие становится себе дороже.
Теги: #информационная безопасность #Исследования и прогнозы в ИТ #Законодательство в ИТ #законодательство #суд
-
Ваш Собственный Aws. Часть 1
19 Oct, 24 -
Еще Один Взгляд На Парадокс Ферми
19 Oct, 24 -
Iphone Night В России (Сводка Информации)
19 Oct, 24 -
Саундтрек №30
19 Oct, 24
