Доступ вне зоны
Уголовное наказание за нарушения норм доступа к сетям обеспокоило РСПП
Российский союз промышленников и предпринимателей (РСПП) настаивает на смягчении законопроектов по обеспечению безопасности объектов критической информационной инфраструктуры (КИИ), принятых Госдумой в первом чтении. Опасения вызваны новеллой об уголовной ответственности за нарушения правил эксплуатации и доступа. Такими инцидентами теоретически могут считаться аварии на географически распределенных сетях, что повышает риски несправедливого наказания, считают участники рынка.
РСПП настаивает на внесении поправок в пакет законопроектов "О безопасности критической информационной инфраструктуры", которые 27 января были приняты Госдумой в первом чтении. Об этом говорится в письмах РСПП к премьеру Дмитрию Медведеву и главе комитета Госдумы по информполитике Леониду Левину, направленных 13 февраля (копии документов есть у "Ъ"). Предусмотренная законопроектом уголовная ответственность по некоторым видам нарушений в сфере обеспечения безопасности КИИ будет "чрезмерной" и "беспрецедентно строгой", считают в союзе. Пресс-секретарь Дмитрия Медведева Наталья Тимакова и представитель РСПП не ответили на запрос "Ъ". Леонид Левин сообщил, что еще не получил письмо.
Правительственный пакет законопроектов о безопасности КИИ был внесен в Госдуму 6 декабря 2016 года. К объектам КИИ в документе отнесены сети и информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы и др. Документами предусмотрены ряд мер по защите объектов КИИ от хакерских атак, а также введение уголовной ответственности за неправомерный доступ к охраняемой информации, содержащейся в КИИ, или нарушение правил эксплуатации средств хранения и обработки такой информации, что наказывается штрафом до 2 млн руб. или лишением свободы на срок до десяти лет.
Согласно письму РСПП, уголовная ответственность за нарушения правил эксплуатации и доступа на сетях связи станет "беспрецедентной мерой". Причем лишение свободы предусмотрено даже в случаях, когда нарушение правил эксплуатации не повлекло за собой ущерба для объекта КИИ. "Предполагаемое наказание очевидно не соответствует общественной опасности нарушения",— указывают в РСПП. Кроме того, понятия "причинение вреда КИИ" и "создание угрозы наступления вреда КИИ" являются субъективными и могут привести к трудностям в правоприменении, а также будут "способствовать возникновению коррупционных рисков", говорится в документе. По оценке РСПП, законопроект о безопасности КИИ может быть распространен на более чем 10 тыс. операторов связи. И в целом законопроект "не соответствует проводимому руководством РФ курсу на гуманизацию уголовного законодательства для создания благоприятных условий для ведения бизнеса". В настоящее время уголовная ответственность за нарушение правил эксплуатации на сетях связи не предусмотрена. Нарушение правил охраны линий и сооружений связи, согласно КоАП, наказывается штрафом до 40 тыс. руб. Эта мера доказала свою эффективность, уверены в РСПП.
31 января на заседании комиссии РСПП по связи и ИКТ гендиректор "МегаФона" Сергей Солдатенков выступил против того, чтобы уголовную ответственность за нарушения работы КИИ несли руководители компаний, управляющих такими объектами. С ним соглашался гендиректор "Почты России" Дмитрий Страшнов. А глава Минкомсвязи Николай Никифоров предложил внести поправки в законопроекты, чтобы уголовную ответственность для топ-менеджеров заменить административной. Собеседник "Ъ" в одном из крупных операторов говорит, что операторы выступают не только против уголовной ответственности руководителей, но и против ее распространения на нарушения правил эксплуатации на сетях связи. "В теории уголовная ответственность за нарушения правил эксплуатации позволит лишать свободы за аварии на сети",— рассуждает источник "Ъ" на рынке связи.
Сети связи, от которых зависит работа объектов, обеспечивающих жизнедеятельность населения, транспортной инфраструктуры, влияющих на экономику государства, имеющих экологическую значимость и играющих роль при обеспечении обороноспособности и безопасности государства, действительно стоит относить к объектам КИИ, считает заместитель директора центра компетенции по экспертным сервисам Positive Technologies Алексей Новиков. "Допустим, перед злоумышленником стоит задача организовать DDoS-атаку на какой-либо объект КИИ. Он может организовать ее как на сам объект, так и на оператора связи. В обоих случаях конечная цель, то есть нарушение работы объекта, будет достигнута",— отмечает он. При этом Алексей Новиков подчеркивает, что для операторов характерны гетерогенность и большая территориальная распределенность инфраструктуры, которой управляет масса различных подразделений. Поэтому контроль уровня безопасности каждого элемента такой сети "превращается в нетривиальную задачу", заключает эксперт.