Цифровые технологии проникли во все ключевые сферы жизни: медицину, транспорт, энергетику и финансы. Так как на них часто совершаются кибератаки правительство разработало законопроект для защиты критически важных инфраструктур (КИИ).
Какие требования предъявляются к программно-аппаратному комплексу (ПАК) для КИИ?
Уголовная ответственность за посягательства на КИИ
В 2017 году отредактировали законодательство о защите критической информационной инфраструктуры (КИИ), внедрив профильный закон о ее безопасности и дополнив УК РФ статьей 274.1, которая вводит ответственность за два вида преступлений:
- Неправомерный доступ к охраняемой информации. Это незаконное проникновение в защищенные данные с помощью вредоносных программ, инструментов для обхода систем защиты или других противоправных методов. Для привлечения к ответственности необходимо доказать, что действия нанесли ущерб системе.
- Нарушение правил эксплуатации объектов КИИ. Они включают некорректное обращение со средствами хранения и обработки данных, а также несоблюдение регламентов эксплуатации информационных систем и сетей, а также несанкционированное предоставление доступа к критически важным ресурсам. Как и в первом случае, обязательным условием для признания преступления является причинение вреда.
Судебная практика показывает, что чаще ущербом признают копирование конфиденциальной информации и ее модификацию в системах КИИ.
Эксперты считают, что закон следует уточнить, добавив такие формы ущерба как уничтожение информации, блокирование доступа к системам и несанкционированное копирование данных.
Дифференцированный подход к административной ответственности
Не все инциденты в этой сфере происходят из злого умысла. Часто это результат недостаточной подготовки сотрудников или технических сбоев. В таких случаях уголовное наказание неуместно, так как не повышает безопасность, а может отпугнуть квалифицированных специалистов. Поэтому предлагается ввести административную ответственность за менее серьезные нарушения правил эксплуатации КИИ. Это даст несколько преимуществ:
- за незначительные ошибки будут назначать штрафы, а не уголовное наказание;
- появится четкое разделение: умышленные атаки – уголовное дело, непреднамеренные ошибки – административное;
- компании смогут быстро устранять проблемы без серьезных последствий для сотрудников.
Дифференцированный подход позволяет строго наказывать за умышленные атаки на критически важные системы и быть более гибкими к тем, кто допустил ошибку случайно.
Таким образом, правовое регулирование в сфере КИИ развивается в двух направлениях — уточнение критериев для уголовной ответственности за умышленные преступления и за создание гибких механизмов административного воздействия для непреднамеренных нарушений.