Ответственность в ИБ. Часть 2: уголовные правонарушения

Продолжаем серию статей на тему санкций за нарушения в области информационной безопасности. В первом материале мы разобрали административные правонарушения и гражданские споры. Эта часть будет посвящена уголовной ответственности за правонарушения в ИБ, их причинам и последствиям.

«Пробив»

«Пробив» — это получение непубличной информации о человеке или организации при помощи инсайдеров, имеющих доступ к закрытым базам данных. Если смотреть по сферам деятельности, то наиболее подверженные инсайдерству компании — онлайн-сервисы, банки, мобильные операторы и почти весь госсектор. Чем больше подробной информации хранится в организации, тем выше риск утечки через инсайдера. От типа искомой информации зависит и классификация «пробива». Если нужна банковская информация, то это будет «банковский пробив», если информация, хранящаяся у операторов сотовой связи, — «мобильный пробив», и дальше по аналогии.

Примером получения закрытой информации является следующий кейс: в 2022 году сотрудник ОМВД продавал в детективное агентство данные о местоположении граждан. Чтобы отвести от себя подозрения, он использовал учетную запись коллеги. Это не помогло, и инсайдер был приговорен к 2,6 годам условного срока.

Ответственность за «пробив» зависит от квалифицированной статьи:

• Если нарушение было квалифицировано как злоупотребление должностными полномочиями, то наказывается лишением свободы на срок до 10 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.
• Если нарушение было квалифицировано как получение взятки, то в зависимости от её суммы инсайдер может быть приговорен к лишению свободы до 15 лет или получить запрет занимать определенную должность или заниматься определенной деятельностью на срок до 15 лет.
• Если нарушение было квалифицировано как неправомерный доступ к компьютерной информации, то санкция для «внешних» злоумышленников — до 4 лет лишения свободы, для инсайдеров — до 5 лет лишения свободы, если затронута охраняемая законом тайна — до 7 лет лишения свободы.

Главное звено в цепи получения закрытой информации — инсайдеры, сотрудники, которые имеют мотивацию или склонности для совершения противозаконных действий. Как правило, эти сотрудники находятся в группе риска, и служба безопасности уделяет им повышенное внимание. Группы риска составляются при помощи психологов и профайлеров, которые выявляют психологические особенности и скрытые мотивы сотрудников. Также для выявления групп риска используются специальные модули в средствах защиты информации, которые позволяют превентивно выявлять намерения сотрудников.

Чтобы защитить информацию от «пробива», нужно:

• Выявить зоны риска. Для этого смоделировать ситуацию «пробива» и определить при помощи чего, где и как может осуществляться неправомерный доступ и передача данных. После этого нужно проанализировать полученную информацию и ужесточить регламенты доступа, донастроить средства защиты.
• Осуществлять мониторинг операций с информацией и фактов выгрузки из систем обработки конфиденциальных данных.
• Использовать средства защиты информации, чтобы контролировать действия сотрудников и их коммуникации с третьими лицами на рабочем месте.
• Настроить политики доступа к данным по контексту вне системы, где должна происходить обработка конфиденциальной информации (на файловых системах ПК, в облачных и корпоративных хранилищах файлов и т. д.).
• Составить группу риска, состоящую из потенциальных инсайдеров и нелояльных сотрудников. Поставить ее на особый контроль.

Неправомерное воздействие на КИИ

Объекты КИИ (критической информационной инфраструктуры) — это значимые системы, работа которых критически важна для государства. К объектам КИИ относят информационные системы, работающие в сферах науки, транспорта, здравоохранения и др. Спектр возможных нарушений по отношению к ним крайне широк, начиная от взломов с использованием вредоносного программного обеспечения до инсайдерских инцидентов.

Примером инсайдерства на объекте КИИ является кейс 2016 года, произошедший в ФТС. Работнику таможни поступило предложение установить на рабочем компьютере программу, которая будет сливать закрытые данные. Предложение было принято, и начиная с января 2017 года, используя свою учетную запись и автоматизированное рабочее место, таможенный инспектор передавал закрытые данные (общероссийского профиля рисков) своему знакомому. Итогом стало осуждение инсайдера на 3 года условно.

Также отмечу и другой кейс, который произошел с инженером электросвязи «Ростелекома». Сотрудник, под предлогом домашнего ознакомления, отправил с рабочего компьютера на личную электронную почту письмо, содержащее закрытую информацию: видеофайлы, техническую документацию, а также схемы сетей связи предприятия. Итог: 3 года условно за нарушение правил хранения, обработки и передачи охраняемой компьютерной информации, содержащейся в КИИ.

Санкции за неправомерное воздействие на КИИ:

• Принудительные работы на срок до 5 лет с лишением права занимать определенные должности или заниматься определенными видами деятельности на срок до 3 лет или без такового.
• Либо лишение свободы на срок до 6 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.
• Если совершено группой лиц или с использованием служебного положения — лишение свободы на срок до 8 лет.
• Если повлекло тяжкие последствия — лишение свободы на срок до 10 лет.

Чтобы защитить от неправомерного воздействия информацию в КИИ, нужно:

• Разграничить доступ к информации по формальным признакам и контенту.
• Обучить сотрудников компетенциям безопасного обращения с данными, ознакомить с регламентами их хранения и обмена под подпись.
• Использовать технические средства для защиты информации и мониторинга действий сотрудников на рабочих местах. Специалистам ИБ — обращать внимание на подозрительные действия сотрудников («маркерные» слова в переписках; интерес к информации, не относящейся к задачам работника; копирование или сохранение закрытых данных в больших объемах).

Нарушение коммерческой, банковской или иной тайны

При работе с каким-либо видом тайны всегда присутствует риск её преступного использования. Особую угрозу представляют сотрудники, занимающие руководящие должности. Именно им постоянно поступают предложения по продаже закрытой информации.

Примером использования служебного положения для нарушения банковской тайны является кейс 2020 года, произошедший в подразделении «Сбербанка»: руководитель выгружал и продавал данные клиентов пользователям теневых форумов. Чтобы оставаться незамеченным, инсайдер пользовался техническими уловками — дробил и менял тип файлов. Это не помогло, отдел ИБ все равно его вычислил и поставил в известность правоохранительные органы. Инсайдер был приговорен к реальному сроку в 2 года и 10 месяцев.

Незаконный сбор данных, составляющих какой-либо из видов тайны наказывается:

• Штрафом до 500 000 руб.
• Лишением свободы или принудительными работами на срок до 2 лет.
• Исправительными работами до 1 года.

За разглашение таких данных грозит:

• Штраф до 1 000 000 руб. с запретом на занятие определенных должностей до 3 лет.
• Лишение свободы или принудительные работы: до 4 лет.
• Исправительные работы на срок до 2 лет.
• При определенных условиях возможный срок лишения свободы или принудительных работ возрастает до 5 лет, а размер штрафа — до 1 500 000 руб.
• При наступлении тяжких последствий срок принудительных работ возрастает до 5 лет, а срок лишения свободы — до 7 лет.

Главная причина, по которой нарушается коммерческая, банковская или иная тайна — отсутствие мониторинга действий сотрудников. Также повторно отмечу — сливом данных занимаются сотрудники из группы риска, которые имеют мотивы или психологическую предрасположенность к нарушениям.

Чтобы не допустить нарушения коммерческой, банковской или иной тайны, необходимо:

• Выявить зоны риска. Смоделировать инцидент, чтобы понять при помощи чего, где и как конкретно может осуществляться неправомерный доступ и передача данных. После этого нужно проанализировать информацию, ужесточить регламенты доступа и донастроить средства защиты.
• Вести учёт и мониторинг всех операций с информацией в системах обработки конфиденциальных данных.
• Использовать средства защиты информации для мониторинга действий пользователей и их коммуникаций с третьими лицами на рабочем месте.
• Настроить политики доступа к данным по контексту вне системы, где должна происходить обработка конфиденциальной информации (на файловых системах ПК, в облачных и корпоративных хранилищах файлов и т. д.).
• Составить группу риска, состоящую из потенциальных инсайдеров и нелояльных сотрудников. Поставить ее на особый контроль.

Алексей Парфентьев, руководитель отдела аналитики “СёрчИнформ”