😵 👂🏻 🥁 ملخص الهبوط. أخصائي أمن المعلومات 👋🏻 🛤️ 🐧

استوحى الربيع ، والحجر الصحي ، والشتلات المسقية على حافة النافذة اسمًا مضحكًا للمنصب. لكن محتوياته خطيرة للغاية. أنا أعمل في SearchInformوقبل ذلك ، غالبًا ما سمعت الرأي القائل بأن نظام منع فقدان البيانات والمحكمة مفهومان غير متوافقين. مثل هذه اللعبة لا تستحق الشمعة. لذا كان ذلك قبل حوالي 9 سنوات ، عندما كان السبب الرئيسي لعدم الرغبة في اللجوء إلى المحكمة هو عدم استعداد "الورقة" للشركة فيما يتعلق بمرحلة Pre-DLP. سبب آخر هو عدم اليقين (الذي يبرر في بعض الأحيان) أن المحكمة لا تريد الخوض في تعقيدات حماية المعلومات بمساعدة البرامج المتخصصة. ومع ذلك ، في العامين الماضيين تم التعبير عن هذا الموقف أقل وأقل. أصبح من المثير للاهتمام ما إذا كان الوضع في المحاكم قد تغير أو إذا كان الناس متعبين للتو. لذلك ، بموافقة القيادة ، جلست أنا وزميلي للبحث وتحليل الحالات التي تم فحصها في عام 2019 من قبل المحاكم بموجب أربع مواد من القانون الجنائي للاتحاد الروسي بشأن التلاعب بمعلومات الكمبيوتر. النتائج تحت القطع.

كنا مهتمين بحالات الاحتيال مع المستندات وقواعد البيانات وأي معلومات سرية باستخدام الموقف الرسمي.

هذه انتهاكات بموجب مواد القانون الجنائي للاتحاد الروسي:

183 (الجزء 2 و 3) - الاستلام والإفشاء غير القانوني للمعلومات التي تشكل سرًا تجاريًا أو ضريبيًا أو مصرفيًا ؛
272 (الأجزاء 1 و 2 و 3) - الوصول غير القانوني إلى معلومات الكمبيوتر ؛
159.6 (الجزء 3) - الاحتيال في مجال المعلومات الحاسوبية ؛
138 (الجزء 2) - انتهاك سرية المراسلات والمحادثات الهاتفية والرسائل البريدية والبرقية أو الرسائل الأخرى.

وهنا أود على الفور تلخيص بعض النقاط:

لماذا هذه المقالات بالضبط؟ تملي اختيار مواد القانون الجنائي للاتحاد الروسي من خلال أنشطة الشركة. إنها تهمنا في المقام الأول. ولكن بما أن الدراسة (الآن) تقرر إجراؤها سنويًا ، فنحن مستعدون لتوسيع القائمة. من غير المحتمل أن تغطي كل شيء ، لكن ما لا يمزح بحق الجحيم.
من أين أتى الحطب؟ وفقًا لـ 262-FZ ، فإن المحاكم ملزمة بنشر نصوص القضايا ، ولكن ليس كلها ( التفاصيل هنا ). لذلك ، تمكنا من رؤية عدد الحالات التي تم فحصها ، والقرار بشأنها ، ولكن المحتوى - ليس على الإطلاق - على سبيل المثال لا الحصر. ومع ذلك ، حتى مع وجود قيود ، فإن إحصاءات sudrf.ru ترسم صورة خلابة للغاية.
ما مدى اكتمال الدراسة؟ أكمل قدر الإمكان. أولاً ، لا يتم نشر المواد المتعلقة بالموارد العامة على الفور. التأخير من حوالي شهر. ثانياً ، ينتقل جزء من القضايا أثناء النظر إلى وضع قانوني مختلف. ثالثا ، هناك طعون. لذلك ، في عام 2019 ، هناك أشياء "ولدت" من السنوات الماضية ، وتلك التي بدأت ، ولكنها انتقلت إلى 2020. أخيرا ، رابعا. هناك اتهامات بعدة مقالات في آن واحد. على سبيل المثال ، الفن. 138 غالبا "يمشي في زوج" مع الفن. 272- ونتيجة لذلك ، نسبنا مثل هذه الحالات كجزء من الحساب الإحصائي لكلا المجموعتين.

بشكل عام ، لم يكن الهدف من التظاهر بأنك أكاديمي أصلاً. ومع ذلك ، في كل حالة ، تم التحقق من المعلومات جيدًا وأكثر من مرة ، تم توضيحها من الورقة الضخمة للغة القانونية في فقرة الإنسان - في جوهرها. اذهب.

تم تقديم معظم المطالبات ضد المخالفين من صناعة الاتصالات ، وهو ما يمثل حوالي 70 ٪ من الحالات. لكن هذا الوضع يرجع بشكل رئيسي إلى الانتهاكات الجماعية وفقا للمادة 138 (الجزء 2) - انتهاك سرية المراسلات. يقاضي مشغلو الاتصالات و "بناتهم" الموظفين للوصول غير القانوني إلى المعلومات المتعلقة بتفاصيل المكالمات.

عادة ما تكون ظروف الحالات متشابهة للغاية. يصل الموظفون إلى البيانات دون الحاجة الرسمية بسبب الرغبة في بيع معلومات حول مفاوضات المشتركين (ما يسمى "اختراق"). كانت هناك حالات أقل من "استنزاف الصداقة" ، عندما كان الدافع للعمل هو الرغبة في مساعدة صديق بإيثار. غالبًا ما يذهب موظفو صالونات الاتصالات / مشغلو الاتصالات للخارج - يطلبون معلومات مقابل رسوم. كقاعدة ، متواضع للغاية - لا يزيد عن بضع مئات من الروبل.

غالبًا ما يتم الحكم على موظفي قطاع الاتصالات وفقًا للمادة 272 (الأجزاء 1 ، 2 ، 3 ، الوصول غير القانوني إلى المعلومات) . السيناريو الأكثر شيوعًا هو إجراء تغييرات على قاعدة البيانات من أجل استبدال بطاقة SIM. هذه الحالة ليست مرضية على الإطلاق ، لأنه يقوم الموظف بالتلاعب بالمعلومات ، كقاعدة عامة ، بهدف سحب الأموال من حساب المشترك ( كما في هذه الحالة ) أو مقابل رسوم بناء على طلب طرف ثالث ( كما هو الحال هنا ).

توزيع المطالبات حسب الصناعة ، المادة 272

هناك دوافع أخرى. في إحدى الحالات ، أعادت المرأة المدانة إعادة إصدار بطاقات SIM للعملاء الذين تعرفهم "بدافع الانتقام والعداء": ذهبت إلى حساباتهم على الشبكات الاجتماعية ، حيث نشرت معلومات مخالفة.

تم فرض عدة أحكام فيما يتعلق بالموظفين الذين قاموا ، انتقامًا ، بحذف أو إفساد المعلومات على مواقع منظماتهم.

بعد الفصل ، قام اختصاصي تكنولوجيا المعلومات بمحكمة المقاطعة بتسجيل الدخول إلى نظام إدارة الموقع بكلمة مرور مختلفة ، وتغيير الوصول والمعلومات المحذوفة هناك (يقال عن 645 حدث إزالة ، بما في ذلك أقسام كاملة). بالمناسبة ، وجد المخالف كلمة المرور مباشرة في مكان العمل - تم تدوينها على قطعة ورق تركت في غرفة الخادم. حُكم على المحكوم عليه بستة أشهر من العمل التصحيحي مع خصم 10 ٪ من الأرباح في إيرادات الدولة ( إشارة إلى قضيته ).

وبموجب مواد أخرى ، فإن ظروف الحوادث ليست موحدة. وفقًا لـ 183 فنًا. (الجزء 2 والجزء 3 ، الإفصاح عن الأسرار التجارية أو الضريبية أو المصرفية) غالبًا ما يدينون موظفي مشغلي الاتصالات وموظفي صالونات الاتصالات (40 ٪) ، ولكن يتم تقديم نفس المبلغ في المحكمة من قبل ممثلي القطاع المصرفي.

, . ( ) , , , , . , 514 110 . , . , , , «» . , .. : , . , (رابط للقضية ).

توزيع المطالبات حسب الصناعة ، المادة 183
طبقاً للمادة 159.6 النظر في الحالات المتعلقة بتعديل المعلومات - الملفات وقواعد البيانات. في العام الماضي ، تم اتخاذ 79 قرارًا بموجب هذه المقالة ، ولكن لم يتم نشر نصوص كافية حول انتهاكات الوصول العام ، لذلك من الصعب استخلاص استنتاجات حول القضايا النموذجية التي أحضرت أصحاب العمل إلى المحكمة.

الحالة الأكثر بروزاً ، المعلومات التي تم نشرها ، هي قصة موظف في فرع أوليانوفسك في بنك اتحادي كبير. في برنامج العمل مع بطاقات الدفع الخاصة بالعميل ، قام بزيادة عدة مرات الحد الأقصى لبطاقته الخاصة ، وبعد ذلك على بطاقة شريكه. في البداية ، كانت المبالغ صغيرة ، ثم نمت حتى 25.9 مليون روبل. أخبار

النص القانوني البليغة الجافةفي وسائل الإعلام المحلية حول "أكبر حادثة إلكترونية" في المنطقة. وصف الصحفيون العملية ضد شريك في البنك. ساعد في سحب الأموال واشترى ست سيارات باهظة الثمن (أودي ، فولفو ، مرسيدس بنز) ، سبائك ذهبية ، هواتف محمولة ومجوهرات وغيرها من السلع. باع على الفور كل هذه الثروة لإضفاء الشرعية على الأموال المسروقة. وقد تمت محاكمته في يناير 2019. لكننا مهتمون بالعملية ضد المسؤول. تم القبض عليه في وقت لاحق ، جرت محاكمته في الصيف ( رابط إلى القضية ). تم منحهم 5 سنوات و 3 أشهر في مستعمرة جزائية وغرامة قدرها 250،000 روبل.

الأعمال لا تكاد تحمي مصالحها

في إحصائيات المحكمة الخاصة بنا ، حاولنا أيضًا العثور على حالات لعملائنا تكشف عن تفاصيل الاحتيال على الشركات عندما تكون الشركة نفسها هي الضحية. يتم النظر في مثل هذه الحالات بشكل رئيسي بموجب المادة 183 (الكشف عن الأسرار التجارية). هناك مثل هذه الادعاءات ، لكنها أكثر ندرة. فيما يلي مثالان:

قام أحد موظفي شركة التأمين بتحميل البيانات من النظام ونقل المعلومات إلى شركة منافسة عبر بريد الشركة. في المجموع ، يشير قرار المحكمة إلى 45 حلقة. رفضت المحكمة القضية بفرض غرامة قدرها 10 آلاف روبل. في دعوى مماثلة ضد موظف في شركة التصنيع، وكانت العقوبة 1،5 سنوات من العمل الإصلاحي مع 20٪ من أرباح في عائدات الدولة (إشارة إلى نص الحالة الأولى و الثانية ).

توزيع المطالبات حسب الصناعة ، بيانات عن 4 مقالات

اتضح أن الشركات أكثر استعدادًا للذهاب إلى المحكمة تحت تهديد مخاطر الصورة ، عندما يمكن أن يعاني "الوجه" بشكل خطير. إنهم يفضلون الدفاع عن مصالحهم في النظام السابق للمحاكمة ؛ معظمهم ببساطة يرفضون المخالفين (60٪ وفقًا لأبحاثنا ).

ضربات الجزاء

العقوبات بموجب المادة 272 (الجزء 1 ، 2 ، 3) ، 183 (الجزء 2 ، 3) ، 138 (الجزء 2)

فيما يتعلق بالعقوبات ، من الجدير بالذكر أنه بالنسبة للجرائم المتعلقة بنقل البيانات الشخصية وتفاصيل المفاوضات ، فإنها تعاقب بسهولة تامة. في كثير من الأحيان ، تشير الأحكام إلى المادة 73 من القانون الجنائي للاتحاد الروسي (الإدانة المشروطة). وعلى الرغم من عدم وجود إشارة محددة إلى الفقرة ، فإنها تشير على الأرجح إلى الفقرة 2: عند فرض عقوبة مشروطة ، تأخذ المحكمة في الاعتبار طبيعة ودرجة الخطر العام للجريمة المرتكبة ، وهوية الجاني ، بما في ذلك الظروف المخففة والمشددة. يبدو أن المنطق هو: ارتكبت الانتهاكات "بدافع الغباء" أو لمصلحة ذاتية صغيرة ، والعقوبة ، كما كانت ، ذات طبيعة تعليمية. لكن هذه الأشياء غير مؤذية بشكل خادع. إن Persdan مهتم بعدد غير محدود من المتسللين ويمكنهم "السير" في المجال العام إلى أجل غير مسمى.

استخدام الغرامة كعقاب في إطار حكم الإدانة بموجب المواد

ولكن ما تعامله المحكمة بعناية أكبر هو استنزاف والوصول غير المصرح به المرتبط أو قد يؤدي إلى تغيير في المعلومات الشخصية ، وسرقة الأموال من الحسابات. لذا ، طبقًا للمادة 272 ، غالبًا ما يعينون ليس غرامة أو عقوبة معلقة أو تقييد الحرية. لكن التناسب بين الغرامة والعقاب يثير تساؤلات هنا. هنا مثال.

تم تعيين أحد أصغر الغرامات - 5 آلاف روبل - من قبل المحكمة لضابط FMS ، الذي قام ، بناء على طلب صديق ، بحذف معلومات السجل الجنائي من بطاقة واحدة من قاعدة Migrant-1. كان قادرًا على القيام بذلك من المنزل ، باستخدام الوصول عن بُعد إلى قاعدة البيانات ( الحالة ).

بالنسبة للمواد الثلاث المتبقية ، فإن القرار الأكثر شيوعًا هو رفض القضية وفرض غرامة من 8 إلى 110 آلاف روبل (المدعى عليه يقر بأنه مذنب ، ويدفع غرامة ، ولا يحصل على سجل إجرامي). في معظم الأحيان ، حررت المحكمة من المسؤولية الجنائية أولئك الذين حوكموا بموجب الفن. 138 ، الجزء 2 - انتهاك سرية المراسلات. وبموجب هذه المادة ، مُنحت غرامة قضائية في 63٪ من القضايا.

إذا تم الحكم على القضية ، فقد تبين أن الغرامة هي العقوبة الأكثر شيوعًا - في 31 ٪ من الحالات. عوقب القضاة أقل بقليل مع وقف تنفيذ العقوبة وتقييد الحرية - في 29 ٪ من القضايا. يتم تقديم المصطلح الحقيقي كعقاب لجميع المواد قيد النظر. لكن القضاة لم يطبقوه على الإطلاق. في الحالات التي تم فحصها ، واجهوا عقوبة مرة واحدة فقط ، في حالة سحب أكثر من 25 مليون روبل من البنك (القصة المذكورة أعلاه).

مجموع

يمكن جعل الاستنتاجات مختلفة. على سبيل المثال ، تلك الحياة ، كما هو الحال دائمًا ، أكثر ثراءً من أي خيال: الفضول ، المصلحة الذاتية ، الانتقام ، الغباء ، الخطأ - الدوافع التي يتعدى بها الناس على معلومات الآخرين.

أنا وزميلي ، مع اعتبارات "iBesh" الخاصة بنا. طوال عام 2019 ، أحصينا 327 قضية في المحاكم في جميع المقالات الأربعة في الأجزاء التي تم الإشارة إليها في بداية المنشور. إذا اعتمدنا على بيانات الدراسة الاستقصائية السنوية من الشركة ، والتي تقول أن 12 ٪ فقط من الشركات تذهب إلى المحكمة ، فمن الواضح أن العدد الإجمالي للمطالبات يمكن أن يكون أكبر بكثير.

هل تريد الشركات الذهاب إلى المحكمة؟ نعم و لا. يذهبون إلى المحكمة إما لدعم صورة الخير والعادل ، أو عندما يرتفع الضجيج ويصبح التقاعس أكثر تكلفة لنفسه.

ملخص الهبوط. أخصائي أمن المعلومات

الأعمال لا تكاد تحمي مصالحها

ضربات الجزاء

مجموع

More articles: