Чиновники предложили уточнить, как наказывать за ущерб критической инфраструктуре
Минэкономразвития подготовило уточняющие поправки в Уголовный кодексМинэкономразвития предложило уточнить формулировки статьи Уголовного кодекса, предполагающей ответственность за нанесение ущерба критической информационной инфраструктуре (КИИ), рассказали «Ведомостям» два человека, близкие к рабочей группе по нормативному регулированию при АНО «Цифровая экономика». По их словам, группа одобрила предложенный министерством законопроект.
Документ предполагает, что в ст. 274.1 Уголовного кодекса речь пойдет не о причинении вреда КИИ, а о причинении крупного ущерба, на сумму 1 млн руб., рассказывает один из собеседников «Ведомостей».
Под КИИ закон подразумевает разнообразные сети связи, информационные системы и автоматизированные системы управления госорганов и компаний. За нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, предусмотрена ответственность вплоть до лишения свободы на срок до 6 лет с запретом занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет, рассказывает партнер фирмы «Рустам Курмаев и партнеры» Дмитрий Клеточкин. За аналогичные деяния, если они повлекли тяжкие последствия, можно получить от пяти до десяти лет, а если они совершены группой лиц по предварительному сговору или с использованием служебного положения ‒ от трех до восьми лет.
Законопроект подготовлен Минэкономразвития совместно с фондом «Сколково» ‒ он определяет ответственность за нарушения правил эксплуатации критической инфраструктуры, говорит представитель ведомства: уточнить ст. 274.1 необходимо, чтобы преодолеть неопределенность понятия «причинение вреда». По его словам, принятие законопроекта снизит риски уголовного преследования специалистов, занятых обслуживанием объектов критической инфраструктуры. Это позволит избежать случаев, когда действия, не имеющие реальной общественной опасности, будут квалифицироваться как преступления, подчеркивает представитель Минэкономразвития.
В существующей редакции ст. 274.1 УК РФ уголовная ответственность может наступить при любом нарушении правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ всех категорий значимости, говорит заместитель гендиректора АНО «Цифровая экономика» Дмитрий Тер-Степанов. Без ограничения объектов действительно значимой КИИ под уголовным преследованием может оказаться неоправданно широкий круг ИТ-специалистов, опасается он. По его словам, это тормозит развитие технологий ‒ люди боятся работать с подобными объектами. Для исключения подобных случаев и было предложено ввести дополнительные условия наступления ответственности, объясняет Тер-Степанов.
По данным Судебного департамента при Верховном суде (на них ссылается Минэкономразвития), в 2019 г. по ст. 274.1 в России было осуждено четыре человека – все к условным срокам. В 2018 г. осужденных по этой статье не было. Важно не только абсолютное число уголовных дел, но и дестимулирующий эффект возможного уголовного наказания без причинения вреда, подчеркивает представитель Минэкономразвития.
На практике нововведения означают, что работавшему на сети сотруднику компании, непредумышленно повредившему ее, нельзя вменить это в качестве преступления, утверждает человек, знакомый с руководством одной из телекоммуникационных компаний.
Предлагаемые изменения в ч. 3 ст. 274.1 Уголовного кодекса позволят снизить правовую неопределенность и исключить расширительное толкование понятия «причинение вреда», считает представитель МТС Алексей Меркутов. Действующие нормы карают не только за неправомерное воздействие на КИИ, но и предусматривают чрезмерное наказание за нарушение правил эксплуатации объектов КИИ, сетует он.
Представители других операторов, опрошенные «Ведомостями», отказались от комментариев. Обе формулировки (причинение вреда КИИ и причинение крупного ущерба) – оценочные, очень непонятно, как рассчитывать сумму ущерба, недоумевает сотрудник одного из них. Статья УК фактически не применяется, потому что правоохранительные органы не умеют ее применять, утверждает он. Собеседник «Ведомостей» не видит предпосылок к тому, чтобы внесение изменений помогло более качественно расследовать эти преступления.
Фабула ст. 274.1 УК РФ предусматривает ответственность именно за неправомерный доступ к критической информационной инфраструктуре, причинивший вред, либо за подготовку инструментов для такого доступа (вредоносного ПО), отмечает Дмитрий Клеточкин. То есть законодатель при формулировании состава преступления во главу угла ставит именно неправомерность доступа (очевидную для преступника) и наличие у него преступного умысла, объясняет он. Почему надо такие составы декриминализировать ‒ совершенно непонятно, разводит руками Клеточкин: крайне сложно представить ситуацию, в которой кто бы то ни было случайно наносит ущерб КИИ. Если такие действия имели место, значит, лица, которые их совершили, приложили к этому деянию определенные усилия, т. е. вряд ли ущерб нанесен неумышленно, а это уже формирует состав преступления, заключает эксперт.