Новая законодательная инициатива, принятая в первом чтении 27 января, меняет правила ответственности за кибератаки и инциденты в системах критической информационной инфраструктуры — от банков до промышленных объектов. Парламентарии предлагают отделить неумышленные ошибки и эксплуатационные нарушения от намеренных действий, потенциально выводя ряд инцидентов из-под уголовного преследования.
Два одобренных законопроекта корректируют статью 274 УК РФ и добавляют новую норму в КоАП. В случае, если сбой или нарушение не повлекли уничтожения, утечки, блокировки или изменения данных, предполагается ограничиться административным наказанием. Для граждан предусмотрены штрафы от 5 до 10 тыс. руб., для ответственных лиц — до 50 тыс. руб., а для юридических лиц — до 500 тыс. руб. В то же время при наличии ущерба, доказанного следствием, уголовная ответственность сохраняется. Если сотрудник, допустивший инцидент, помогает расследованию и сохраняет доказательства, он может избежать наказания полностью.
Один из соавторов законопроекта, депутат Анатолий Выборный, ранее заявлял, что основной задачей предлагаемых изменений является защита специалистов, работающих с инфраструктурой, от уголовного преследования в случае технических сбоев. По его словам, грань между ошибкой и преступлением должна быть ясной, и неумышленные действия нельзя приравнивать к кибератаке.
Партнёр юридической группы «Яковлев и партнёры» Антон Чуреков подчёркивает, что для квалификации инцидента как административного потребуется документальное подтверждение отсутствия воздействия на данные. На практике, по его словам, серьёзные сбои часто становятся объектом интереса следственных органов, которые склонны квалифицировать даже технические сбои как уголовные преступления. Это связано с возможностями, которые даёт уголовное производство — от обысков до назначения экспертиз.
По мнению Антона Еременко, консультанта департамента консалтинга и аудита компании «Информзащита», в такой системе появляется угроза того, что серьёзные организационные провалы могут быть списаны на ошибки отдельных сотрудников. Он обращает внимание на конфликт между интересами компаний и интересами персонала. Сотрудник, оказавшийся под давлением, может начать сотрудничать с органами дознания в ущерб корпоративной стратегии, чтобы снизить собственные риски. Это может привести к недоверию внутри команд, ослаблению прозрачности и росту страха перед собственными ошибками.
Антон Чуреков добавляет, что вводимая норма способна отрицательно повлиять на культуру информационной безопасности в организациях. Специалисты, по его мнению, будут бояться сообщать о внутренних проблемах, чтобы не оказаться крайними, что в перспективе может снизить эффективность всей системы киберзащиты.