Оффлайн
- Регистрация
- 12.04.17
- Сообщения
- 19.095
- Реакции
- 107
- Репутация
- 0
Весна, карантин и заколосившаяся рассада на подоконнике навеяли забавное название для поста. Но содержимое его вполне серьёзно. Работаю я в
Нас интересовали дела о махинациях с документами, базами данных и любой конфиденциальной информацией с использованием служебного положения.
Это нарушения по статьям УК РФ:
И здесь сразу хотелось бы обозначить несколько моментов:
В общем, цели претендовать на академичность изначально не стояло. И тем не менее, по каждому делу информация перепроверена и не раз, законспектирована из огромной простыни юридического языка в абзац человеческого – по существу. Поехали.
За что судили
Больше всего исков было предъявлено к нарушителям из телеком-отрасли, на них приходится порядка 70% дел. Но такая ситуация складывается главным образом за счет массовости нарушений по ст.138 (ч.2) – нарушение тайны переписки. Операторы связи и их «дочки» подают в суд на сотрудников за неправомерное обращение к информации о детализации звонков.
Обстоятельства дел, как правило, очень похожи. Сотрудники обращаются к данным без служебной нужды из-за желания продать информацию о переговорах абонентов (т.н. «пробив»). Реже встречались случаи «слива по дружбе», когда мотивом действий выступало желание бескорыстно помочь другу. На сотрудников салонов связи\телеком-операторов часто выходят со стороны – просят об информации за вознаграждение. Как правило, очень скромное – не более нескольких сотен рублей.
Также часто сотрудников из телеком-сферы судят и по статье 272 (ч.1, 2, 3, неправомерный доступ к информации). Самый распространенный сценарий – это внесение изменений в базу данных с целью замены сим-карты. Такое состояние дел совсем не радует, т.к. сотрудник совершает манипуляции с информацией, как правило, с целью вывода денег со счета абонента (
Распределение исков по отраслям, ст.272
Встречаются и другие мотивы. В одном случае осужденная
Несколько приговоров было вынесено в отношении сотрудников, которые из мести удаляли или портили информацию на сайтах своих организаций.
По другим статьям обстоятельства инцидентов не столь однородны. По 183 ст. (ч.2 и ч.3, разглашение коммерческой, налоговой или банковской тайны) тоже часто осуждают сотрудников телеком-операторов и работников салонов связи (40%), но столько же в суде оказывается и представителей банковской сферы.
Распределение исков по отраслям, ст.183
По ст. 159.6 рассматривают дела, связанные с модификацией информации – файлов, баз данных. В прошлом году было вынесено 79 решений по этой статье, но по служебным нарушениям в открытом доступе опубликовано недостаточно текстов, поэтому сложно делать выводы о типичных поводах, которые приводили работодателей в суд.
Самое заметное дело, информация по которому опубликована, – история сотрудника ульяновского отделения крупного федерального банка. В программе для работы с платежными картами клиентов он несколько раз увеличивал лимит по собственной карте, а позже – по карте подельника. Сначала суммы были небольшие, потом выросли – до 25,9 млн рублей.
Красноречивее сухого юридического текста
Бизнес свои интересы почти не защищает
Для своих заказчиков в судебной статистике мы пытались найти и дела, раскрывающие подробности корпоративного мошенничества, когда в качестве потерпевшего выступает сама компания. Такие дела рассматриваются в основном по 183-й статье (разглашение коммерческой тайны). Такие иски есть, но они гораздо более редкие. Вот два примера:
Распределение исков по отраслям, данные по 4 статьям
Так получается, что компании гораздо охотнее ходят в суд под угрозой имиджевых рисков, когда может серьёзно пострадать «лицо». Свои интересы предпочитают защищать в досудебном порядке, большинство просто увольняет нарушителей (60% по данным нашего
Наказания
Наказания, применяемые по ст. 272 (ч.1, 2, 3), 183 (ч.2, 3), 138 (ч.2)
Что касается наказаний, обращает на себя внимание, что за преступления, связанные с передачей персональных данных и детализации переговоров, наказывают достаточно легко. Часто в приговорах фигурирует отсылка к ст.73 УК РФ (Условное осуждение). И хотя конкретного указания пункта нет, скорее всего ссылаются на п.2: При назначении условного осуждения суд учитывает характер и степень общественной опасности совершенного преступления, личность виновного, в том числе смягчающие и отягчающие обстоятельства. Логика, видимо, такая: нарушения совершены «по глупости» или из небольшой корысти, а наказание носит как бы воспитательный характер. Но дела эти обманчиво безобидны. Персданные интересуют неограниченное число злоумышленников и могут «гулять» в свободном доступе до бесконечности.
Применение штрафа как наказания в рамках обвинительного приговора по статьям
А вот к чему суд относится гораздо внимательнее – это к тем сливам и неправомерному доступу, которые связаны или могут привести к изменению личной информации, краже денег со счетов. Так, по ст.272 гораздо чаще назначают не штраф, а условный срок или ограничение свободы. Но соразмерность штрафа и наказания и тут вызывает вопросы. Вот пример.
По трем остальным статьям наиболее частое решение – прекращение дела и назначение судебного штрафа – от 8 до 110 тыс. рублей (подсудимый признает вину, оплачивает штраф, судимость не получает). Чаще всего суд избавлял от уголовной ответственности тех, кого судили по ст. 138, ч.2 – нарушение тайны переписки. По этой статье судебный штраф был присужден в 63% случаев.
Если дело доводилось до приговора, то и здесь штраф оказывался самым распространенным наказанием – в 31% случаев. Немного реже судьи наказывали условным сроком и ограничением свободы – в сумме в 29% случаев. Реальный срок предусмотрен в качестве наказания по всем рассматриваемым статьям. Но судьи почти не применяют его. В рассмотренных делах встретили санкцию только однажды, в деле о выводе из банка 25+ млн рублей (история упоминалась выше).
Итого
Выводы можно сделать разные. Например, что жизнь как всегда богаче любой выдумки: любопытство, корысть, месть, глупость, ошибка – мотивов, по которым люди посягают на чужую информацию масса.
Мы же с коллегой со своими «ибэшными» соображениями. За весь 2019 год в судах мы насчитали 327 дел по всем четырем статьям в частях, которые указывались в начале поста Если опираться на данные ежегодного
Хотят ли компании идти в суд? И да, и нет. В суд идут либо ради поддержки имиджа добрых и справедливых, либо, когда поднимается шумиха и бездействовать становится себе дороже.
You must be registered for see links
и раньше довольно часто доводилось слышать мнение, что DLP-система и суд – понятия несовместимые. Мол, эта игра не стоит свеч. Так было лет 9 назад, когда основной причиной нежелания идти в суд была «бумажная» неподготовленность компании по части этапа Pre-DLP. Другой причиной была неуверенность (порой обоснованная), что суд не захочет вникать в тонкости защиты информации с помощью специализированного ПО. Однако в последние пару лет такая позиция озвучивалась всё реже и реже. Стало интересно, изменилась ли ситуация в судах или просто народ устал. Поэтому, с одобрямса руководства, мы с коллегой засели за поиск и анализ дел, которые в 2019 году рассматривали суды по четырем статьям УК РФ о манипуляции с компьютерной информацией. Результаты под катом.Нас интересовали дела о махинациях с документами, базами данных и любой конфиденциальной информацией с использованием служебного положения.
Это нарушения по статьям УК РФ:
- 183 (ч.2 и 3) – незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну;
- 272 (ч.1, 2 и 3) – неправомерный доступ к компьютерной информации;
- 159.6 (ч.3) – мошенничество в сфере компьютерной информации;
- 138 (ч.2) – нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.
И здесь сразу хотелось бы обозначить несколько моментов:
- Почему именно эти статьи? Выбор статей УК РФ был продиктован деятельностью компании. Они нам интересны в первую очередь. Но так как исследование (теперь) решено проводить ежегодно, мы готовы расширить перечень. Охватить всё вряд ли получится, но чем чёрт не шутит.
- Откуда дровишки? По 262-ФЗ суды обязаны публиковать тексты дел, но не всех (
You must be registered for see links). Поэтому мы смогли без ограничений посмотреть число рассмотренных дел, решение по ним, а вот содержание – не по всем. Тем не менее даже с ограничениями статистика с sudrf.ru рисует вполне живописную картину.
- Насколько полное исследование? Полное настолько, насколько это было возможным. Во-первых, материалы на публичных ресурсах публикуются не сразу. Задержка примерно с месяц. Во-вторых, часть дел во время рассмотрения переходит в другой правовой статус. В-третьих, бывают апелляции. Поэтому в 2019 году присутствуют как дела «родом» из прошлых лет, так и те, которые были начаты, но перешли в 2020-й. Наконец, в-четвёртых. Бывают дела с обвинением сразу по нескольким статьям. Например, ст. 138 часто «ходит парой» со ст. 272. В итоге подобные дела в рамках статподсчёта мы относили в обе группы.
В общем, цели претендовать на академичность изначально не стояло. И тем не менее, по каждому делу информация перепроверена и не раз, законспектирована из огромной простыни юридического языка в абзац человеческого – по существу. Поехали.
За что судили
Больше всего исков было предъявлено к нарушителям из телеком-отрасли, на них приходится порядка 70% дел. Но такая ситуация складывается главным образом за счет массовости нарушений по ст.138 (ч.2) – нарушение тайны переписки. Операторы связи и их «дочки» подают в суд на сотрудников за неправомерное обращение к информации о детализации звонков.
Обстоятельства дел, как правило, очень похожи. Сотрудники обращаются к данным без служебной нужды из-за желания продать информацию о переговорах абонентов (т.н. «пробив»). Реже встречались случаи «слива по дружбе», когда мотивом действий выступало желание бескорыстно помочь другу. На сотрудников салонов связи\телеком-операторов часто выходят со стороны – просят об информации за вознаграждение. Как правило, очень скромное – не более нескольких сотен рублей.
Также часто сотрудников из телеком-сферы судят и по статье 272 (ч.1, 2, 3, неправомерный доступ к информации). Самый распространенный сценарий – это внесение изменений в базу данных с целью замены сим-карты. Такое состояние дел совсем не радует, т.к. сотрудник совершает манипуляции с информацией, как правило, с целью вывода денег со счета абонента (
You must be registered for see links
) или за вознаграждение по просьбе третьего лица (
You must be registered for see links
).
Распределение исков по отраслям, ст.272
Встречаются и другие мотивы. В одном случае осужденная
You must be registered for see links
сим-карты знакомых ей клиентов «из мести и неприязни»: заходила к ним в аккаунты в соцсетях, где размещала компрометирующую информацию.Несколько приговоров было вынесено в отношении сотрудников, которые из мести удаляли или портили информацию на сайтах своих организаций.
IТ-специалист районного суда после увольнения вошел под чужим паролем в систему управления сайтом, сменил доступы и удалил там информацию (говорится о 645 событиях по удалению, в том числе целых разделов). Пароль, кстати, нарушитель нашел прямо на рабочем месте – он был записан на листке бумаги, оставленном в серверной. Осужденного приговорили к шести месяцам исправительных работ с удержанием 10% заработка в доход государства (
You must be registered for see links
).По другим статьям обстоятельства инцидентов не столь однородны. По 183 ст. (ч.2 и ч.3, разглашение коммерческой, налоговой или банковской тайны) тоже часто осуждают сотрудников телеком-операторов и работников салонов связи (40%), но столько же в суде оказывается и представителей банковской сферы.
Сотрудник заходил в специализированную программу, когда находился в кабинете один. После нахождения сведений о нужном клиенте в базе данных (а он искал конкретных лиц) сотрудник получал доступ к полным персональным данным, счетам клиентов, открытым счетам во всех отделениях банка, остаткам, данным о совершенных операциях. Всего в деле говорится, что специалист совершил 514 операций по собиранию сведений о счетах 110 клиентов. В большинстве случаев после просмотра информации, входил в конкретные счета клиентов и печатал реквизиты. Банк провел расследование по этим действиям, в ходе него выяснилось, что скорее всего сотрудник использовал счета клиентов, чтобы без их ведома «прогонять» деньги для дальнейшей обналички. Этот вывод сделали, т.к. проследили взаимосвязь: банковский сотрудник печатал реквизиты счетов, а в течение недели на эти счета поступали деньги от юрлиц. При этом сами клиенты сообщили, что не знали о зачислении на их счета денег (
You must be registered for see links
).
Распределение исков по отраслям, ст.183
По ст. 159.6 рассматривают дела, связанные с модификацией информации – файлов, баз данных. В прошлом году было вынесено 79 решений по этой статье, но по служебным нарушениям в открытом доступе опубликовано недостаточно текстов, поэтому сложно делать выводы о типичных поводах, которые приводили работодателей в суд.
Самое заметное дело, информация по которому опубликована, – история сотрудника ульяновского отделения крупного федерального банка. В программе для работы с платежными картами клиентов он несколько раз увеличивал лимит по собственной карте, а позже – по карте подельника. Сначала суммы были небольшие, потом выросли – до 25,9 млн рублей.
Красноречивее сухого юридического текста
You must be registered for see links
в местных СМИ о «самом большом киберинциденте» в регионе. Журналисты описали процесс против подельника банковского сотрудника. Он помогал выводить деньги и купил на них шесть дорогостоящих автомобилей (Audi, Volvo, Mercedes-Benz), золотые слитки, мобильные телефоны и ювелирные украшения и другие товары. Все это богатство он тут же продал, чтобы легализовать похищенные средства. Под суд попал в январе 2019 года. Но нас интересует процесс против должностного лица. Его поймали позже, суд над ним состоялся летом (
You must be registered for see links
). Дали 5 лет и 3 месяца в колонии общего режима и штраф 250000 рублей.Бизнес свои интересы почти не защищает
Для своих заказчиков в судебной статистике мы пытались найти и дела, раскрывающие подробности корпоративного мошенничества, когда в качестве потерпевшего выступает сама компания. Такие дела рассматриваются в основном по 183-й статье (разглашение коммерческой тайны). Такие иски есть, но они гораздо более редкие. Вот два примера:
Сотрудница страховой компании выгружала данные из системы и передавала информацию в конкурирующую компанию по корпоративной почте. Всего в решении суда идет речь про 45 эпизодов. Суд прекратил дело, назначив штраф в 10 тыс. рублей. В похожем иске к сотруднице производственной компании наказание составило 1,5 года исправительных работ с удержанием 20% из заработка в доход государства (ссылка на текст
You must be registered for see links
и
You must be registered for see links
).
Распределение исков по отраслям, данные по 4 статьям
Так получается, что компании гораздо охотнее ходят в суд под угрозой имиджевых рисков, когда может серьёзно пострадать «лицо». Свои интересы предпочитают защищать в досудебном порядке, большинство просто увольняет нарушителей (60% по данным нашего
You must be registered for see links
).Наказания
Наказания, применяемые по ст. 272 (ч.1, 2, 3), 183 (ч.2, 3), 138 (ч.2)
Что касается наказаний, обращает на себя внимание, что за преступления, связанные с передачей персональных данных и детализации переговоров, наказывают достаточно легко. Часто в приговорах фигурирует отсылка к ст.73 УК РФ (Условное осуждение). И хотя конкретного указания пункта нет, скорее всего ссылаются на п.2: При назначении условного осуждения суд учитывает характер и степень общественной опасности совершенного преступления, личность виновного, в том числе смягчающие и отягчающие обстоятельства. Логика, видимо, такая: нарушения совершены «по глупости» или из небольшой корысти, а наказание носит как бы воспитательный характер. Но дела эти обманчиво безобидны. Персданные интересуют неограниченное число злоумышленников и могут «гулять» в свободном доступе до бесконечности.
Применение штрафа как наказания в рамках обвинительного приговора по статьям
А вот к чему суд относится гораздо внимательнее – это к тем сливам и неправомерному доступу, которые связаны или могут привести к изменению личной информации, краже денег со счетов. Так, по ст.272 гораздо чаще назначают не штраф, а условный срок или ограничение свободы. Но соразмерность штрафа и наказания и тут вызывает вопросы. Вот пример.
Один из самых малых штрафов – 5 тыс. рублей – суд назначил сотруднику УФМС, который по просьбе знакомого удалил информацию о судимости из одной карточки базы «Мигрант-1». Он смог сделать это из дома, воспользовавшись удаленным доступом к базе данных (
You must be registered for see links
).По трем остальным статьям наиболее частое решение – прекращение дела и назначение судебного штрафа – от 8 до 110 тыс. рублей (подсудимый признает вину, оплачивает штраф, судимость не получает). Чаще всего суд избавлял от уголовной ответственности тех, кого судили по ст. 138, ч.2 – нарушение тайны переписки. По этой статье судебный штраф был присужден в 63% случаев.
Если дело доводилось до приговора, то и здесь штраф оказывался самым распространенным наказанием – в 31% случаев. Немного реже судьи наказывали условным сроком и ограничением свободы – в сумме в 29% случаев. Реальный срок предусмотрен в качестве наказания по всем рассматриваемым статьям. Но судьи почти не применяют его. В рассмотренных делах встретили санкцию только однажды, в деле о выводе из банка 25+ млн рублей (история упоминалась выше).
Итого
Выводы можно сделать разные. Например, что жизнь как всегда богаче любой выдумки: любопытство, корысть, месть, глупость, ошибка – мотивов, по которым люди посягают на чужую информацию масса.
Мы же с коллегой со своими «ибэшными» соображениями. За весь 2019 год в судах мы насчитали 327 дел по всем четырем статьям в частях, которые указывались в начале поста Если опираться на данные ежегодного
You must be registered for see links
от компании, которые говорят, что только 12% компаний идет в суд, общее число исков, очевидно, могло бы быть значительно больше. Хотят ли компании идти в суд? И да, и нет. В суд идут либо ради поддержки имиджа добрых и справедливых, либо, когда поднимается шумиха и бездействовать становится себе дороже.