🍫 ♓️ 🆚 Landing Digest. Spezialist für Informationssicherheit 👘 😿 🏭

Frühling, Quarantäne und abgeschreckte Sämlinge auf der Fensterbank inspirierten einen lustigen Namen für die Post. Aber sein Inhalt ist ziemlich ernst. Ich arbeite in SearchInformund vorher hörte ich ziemlich oft die Meinung, dass das DLP-System und das Gericht inkompatible Konzepte sind. Wie, dieses Spiel ist die Kerze nicht wert. So war es vor ungefähr 9 Jahren, als der Hauptgrund für die Zurückhaltung, vor Gericht zu gehen, die Unvorbereitetheit des Unternehmens in Bezug auf die Pre-DLP-Phase war. Ein weiterer Grund war die (manchmal berechtigte) Unsicherheit, dass das Gericht nicht mit Hilfe spezieller Software auf die Feinheiten des Schutzes von Informationen eingehen möchte. In den letzten Jahren wurde diese Position jedoch immer weniger geäußert. Es wurde interessant, ob sich die Situation vor Gericht geändert hatte oder ob die Leute nur müde waren. Mit Zustimmung der Führung setzten sich mein Kollege und ich daher zur Suche und Analyse von Fällen zusammen, die 2019 von den Gerichten gemäß vier Artikeln des Strafgesetzbuchs der Russischen Föderation über die Manipulation von Computerinformationen geprüft wurden. Ergebnisse unter dem Schnitt.

Wir waren an Betrugsfällen mit Dokumenten, Datenbanken und vertraulichen Informationen unter Verwendung der offiziellen Position interessiert.

Dies sind Verstöße nach den Artikeln des Strafgesetzbuches der Russischen Föderation:

183 (Teil 2 und 3) - illegaler Empfang und Offenlegung von Informationen, die ein Handels-, Steuer- oder Bankgeheimnis darstellen;
272 (Teile 1, 2 und 3) - rechtswidriger Zugang zu Computerinformationen;
159.6 (Teil 3) - Betrug im Bereich der Computerinformation;
138 (Teil 2) - Verletzung der Vertraulichkeit von Korrespondenz, Telefongesprächen, Post-, Telegrafie- oder anderen Nachrichten.

Und hier möchte ich sofort einige Punkte skizzieren:

? . . () , . , .
? 262- , ( ). , , – . sudrf.ru .
Wie vollständig ist die Studie? Füllen Sie so viel wie möglich aus. Erstens werden Materialien zu öffentlichen Ressourcen nicht sofort veröffentlicht. Verzögerung von etwa einem Monat. Zweitens geht ein Teil der Fälle während der Prüfung in einen anderen Rechtsstatus über. Drittens gibt es Berufungen. Daher gibt es 2019 sowohl Dinge, die aus den vergangenen Jahren „geboren“ wurden, als auch solche, die begonnen, aber auf 2020 verschoben wurden. Schließlich viertens. Es fallen Gebühren für mehrere Artikel gleichzeitig an. Zum Beispiel Art. 138 geht oft mit der Kunst „zu zweit“. 272. Infolgedessen haben wir solche Fälle im Rahmen der statistischen Berechnung beiden Gruppen zugeordnet.

Im Allgemeinen war das Ziel, sich als Akademiker auszugeben, ursprünglich nicht beabsichtigt. Trotzdem wurden die Informationen in jedem Fall doppelt überprüft und mehr als einmal aus dem riesigen Blatt der Rechtssprache in den Absatz des Menschen umrissen - im Wesentlichen. Gehen.

Die meisten Ansprüche wurden gegen Verstöße aus der Telekommunikationsbranche erhoben, was etwa 70% der Fälle ausmacht. Diese Situation ist jedoch hauptsächlich auf die Massenverstöße gemäß Artikel 138 (Teil 2) zurückzuführen - Verstöße gegen das Korrespondenzgeheimnis. Telekommunikationsbetreiber und ihre "Töchter" verklagen Mitarbeiter wegen unrechtmäßigen Zugangs zu Informationen über Anrufdetails.

Die Umstände der Fälle sind normalerweise sehr ähnlich. Mitarbeiter greifen ohne offizielle Notwendigkeit auf Daten zu, weil sie Informationen über die Verhandlungen der Abonnenten verkaufen möchten (das sogenannte „Durchbrechen“). Es gab weniger Fälle von „Abfluss von Freundschaft“, als das Motiv für Maßnahmen der Wunsch war, einem Freund selbstlos zu helfen. Mitarbeiter von Kommunikationssalons / Telekommunikationsbetreibern gehen oft nach draußen - sie fordern gegen eine Gebühr Informationen an. In der Regel sehr bescheiden - nicht mehr als ein paar hundert Rubel.

Auch Mitarbeiter aus dem Telekommunikationssektor werden häufig nach Artikel 272 beurteilt (Teile 1, 2, 3, illegaler Zugang zu Informationen) . Das häufigste Szenario besteht darin, Änderungen an der Datenbank vorzunehmen, um die SIM-Karte zu ersetzen. Dieser Zustand ist überhaupt nicht erfreulich, weil Der Mitarbeiter manipuliert die Informationen in der Regel mit dem Ziel, Geld vom Konto des Abonnenten abzuheben ( wie in diesem Fall ) oder auf Antrag eines Dritten ( wie hier ) eine Vergütung zu erhalten .

Verteilung der Ansprüche nach Branchen, Artikel 272

Es gibt andere Motive. In einem Fall gab eine verurteilte Frau SIM-Karten von Kunden wieder, die sie „aus Rache und Feindseligkeit“ kannte: Sie ging zu ihren Konten in sozialen Netzwerken, wo sie kompromittierende Informationen veröffentlichte.

Gegen Mitarbeiter, die aus Rache Informationen auf den Websites ihrer Organisationen gelöscht oder verdorben haben, wurden mehrere Strafen verhängt.

Nach der Entlassung loggte sich der IT-Spezialist des Amtsgerichts mit einem anderen Passwort in das Site-Management-System ein, änderte den Zugriff und löschte dort Informationen (es wird über 645 Entfernungsereignisse berichtet, einschließlich ganzer Abschnitte). Übrigens fand der Übertreter das Passwort direkt am Arbeitsplatz - es wurde auf ein Stück Papier geschrieben, das im Serverraum zurückgelassen wurde. Der Verurteilte wurde zu sechs Monaten Korrekturarbeit mit einem Abzug von 10% des Einkommens von den Staatseinnahmen verurteilt ( Bezug auf seinen Fall ).

Unter anderen Artikeln sind die Umstände der Vorfälle nicht so einheitlich. Nach 183 Art. (Teil 2 und Teil 3, Offenlegung von Geschäfts-, Steuer- oder Bankgeheimnissen) verurteilen häufig auch Mitarbeiter von Telekommunikationsbetreibern und Mitarbeiter von Kommunikationssalons (40%), aber der gleiche Betrag wird von Vertretern des Bankensektors vor Gericht gebracht.

, . ( ) , , , , . , 514 110 . , . , , , «» . , .. : , . , (Link zum Fall ).

Verteilung der Forderungen nach Industriezweigen, Artikel 183
Gemäß Artikel 159.6 betrachten Fälle im Zusammenhang mit der Änderung von Informationen - Dateien, Datenbanken. Im vergangenen Jahr wurden 79 Entscheidungen im Rahmen dieses Artikels getroffen, es wurden jedoch nicht genügend Texte zu Verstößen gegen den öffentlichen Zugang veröffentlicht. Daher ist es schwierig, Schlussfolgerungen zu typischen Fällen zu ziehen, die Arbeitgeber vor Gericht gebracht haben.

Der bemerkenswerteste Fall, dessen Informationen veröffentlicht werden, ist die Geschichte eines Mitarbeiters der Niederlassung Uljanowsk einer großen Bundesbank. Im Programm für die Arbeit mit Zahlungskarten des Kunden erhöhte er das Limit für seine eigene Karte und später für die Karte des Komplizen mehrmals. Anfangs waren die Mengen gering, dann wuchsen sie auf 25,9 Millionen Rubel.

Eloquent trocken Rechtstext Nachrichtenin lokalen Medien über den „größten Cyber-Vorfall“ in der Region. Journalisten beschrieben den Prozess gegen einen Komplizen eines Bankangestellten. Er half beim Abheben von Geld und kaufte sechs teure Autos (Audi, Volvo, Mercedes-Benz), Goldbarren, Mobiltelefone, Schmuck und andere Waren. Er verkaufte sofort all diesen Reichtum, um gestohlene Gelder zu legalisieren. Er wurde im Januar 2019 vor Gericht gestellt. Aber wir sind an dem Prozess gegen den Beamten interessiert. Er wurde später gefasst, sein Prozess fand im Sommer statt ( Link zum Fall ). Sie erhielten 5 Jahre und 3 Monate in einer Strafkolonie und eine Geldstrafe von 250.000 Rubel.

Das Geschäft schützt seine Interessen fast nicht

In unserer Gerichtsstatistik haben wir auch versucht, Fälle für unsere Kunden zu finden, die Details von Unternehmensbetrug enthüllen, wenn das Unternehmen selbst das Opfer ist. Solche Fälle werden hauptsächlich nach Artikel 183 (Offenlegung von Geschäftsgeheimnissen) behandelt. Es gibt solche Behauptungen, aber sie sind viel seltener. Hier sind zwei Beispiele:

Ein Mitarbeiter eines Versicherungsunternehmens hat Daten aus dem System hochgeladen und Informationen per Firmenpost an ein konkurrierendes Unternehmen übermittelt. Insgesamt bezieht sich die Entscheidung des Gerichts auf 45 Folgen. Das Gericht wies den Fall mit einer Geldstrafe von 10 000 Rubel ab. In einer ähnlichen Klage gegen einen Angestellten eines produzierenden Unternehmens wurde eine Strafe von 1,5 Jahren Korrekturarbeit mit einem Abzug von 20% des Einkommens von den Staatseinnahmen verhängt (Link zum Text des ersten und des zweiten Falles ).

Verteilung der Ansprüche nach Branchen, Daten zu 4 Artikeln

Es stellt sich heraus, dass Unternehmen viel eher bereit sind, unter Androhung von Image-Risiken vor Gericht zu gehen, wenn das „Gesicht“ ernsthaft leiden kann. Sie ziehen es vor, ihre Interessen in der vorgerichtlichen Anordnung zu verteidigen, am einfachsten entlassen sie Verstöße (60% nach unseren Untersuchungen ).

Strafen

Strafen nach Art. 272 (Teil 1, 2, 3), 183 (Teil 2, 3), 138 (Teil 2)

In Bezug auf Bestrafungen ist es bemerkenswert, dass Straftaten im Zusammenhang mit der Übermittlung personenbezogener Daten und den Einzelheiten von Verhandlungen recht leicht zu bestrafen sind. Oft beziehen sich die Sätze auf Artikel 73 des Strafgesetzbuches der Russischen Föderation (bedingte Verurteilung). Und obwohl es keinen spezifischen Hinweis auf den Absatz gibt, beziehen sie sich höchstwahrscheinlich auf Absatz 2: Bei der Verhängung einer bedingten Strafe berücksichtigt das Gericht die Art und den Grad der öffentlichen Gefahr des begangenen Verbrechens, die Identität des Täters, einschließlich mildernder und erschwerender Umstände. Die Logik ist anscheinend folgende: Die Verstöße wurden "aus Dummheit" oder aus einem kleinen Eigeninteresse heraus begangen, und die Bestrafung ist sozusagen pädagogischer Natur. Aber diese Dinge sind täuschend harmlos. Persdan ist an einer unbegrenzten Anzahl von Eindringlingen interessiert und kann auf unbestimmte Zeit im öffentlichen Bereich "laufen".

Die Verwendung einer Geldbuße als Strafe im Rahmen eines Schuldspruchs nach den Artikeln.

Was das Gericht jedoch viel sorgfältiger behandelt, ist der Abfluss und der unbefugte Zugriff, die miteinander verbunden sind oder zu einer Änderung der persönlichen Daten und zum Diebstahl von Geld von Konten führen können. Nach Artikel 272 verhängen sie also viel häufiger keine Geldstrafe, sondern eine Bewährungsstrafe oder eine Einschränkung der Freiheit. Die Verhältnismäßigkeit von Geldstrafe und Bestrafung wirft hier jedoch Fragen auf. Hier ist ein Beispiel.

Eine der kleinsten Bußgelder - fünftausend Rubel - wurde vom Gericht an den Mitarbeiter des Bundesmigrationsdienstes überwiesen, der auf Ersuchen eines Freundes Strafregisterinformationen von einer Karte der Migrant-1-Basis löschte. Er konnte dies von zu Hause aus über den Fernzugriff auf die Datenbank ( Fall ) tun .

Für die verbleibenden drei Artikel ist die häufigste Entscheidung, den Fall zurückzuweisen und eine Geldstrafe von 8 bis 110 Tausend Rubel zu verhängen (der Angeklagte bekennt sich schuldig, zahlt eine Geldstrafe, erhält kein Strafregister). Meistens befreite das Gericht diejenigen, die nach Art. 138, Teil 2 - Verletzung der Vertraulichkeit der Korrespondenz. Nach diesem Artikel wurde in 63% der Fälle eine Geldstrafe verhängt.

Wenn der Fall zu einem Urteil gebracht wurde, war hier die Geldstrafe die häufigste Strafe - in 31% der Fälle. Etwas weniger wurden Richter mit einer Bewährungsstrafe und einer Einschränkung der Freiheit bestraft - in 29% der Fälle. Der tatsächliche Begriff wird als Strafe für alle betrachteten Artikel vorgesehen. Aber die Richter wenden es fast nie an. In den untersuchten Fällen wurden sie nur einmal sanktioniert, wenn mehr als 25 Millionen Rubel von der Bank abgezogen wurden (die Geschichte wurde oben erwähnt).

Gesamt

Schlussfolgerungen können unterschiedlich gemacht werden. Zum Beispiel ist dieses Leben wie immer reicher als jede Fiktion: Neugier, Eigennutz, Rache, Dummheit, Fehler - Motive, mit denen Menschen in die Informationen anderer Menschen eingreifen.

Mein Kollege und ich mit unseren "iBesh" -Überlegungen. Für das gesamte Jahr 2019 haben wir in allen vier Artikeln in Teilen, die zu Beginn des Beitrags angegeben wurden, 327 Fälle vor Gericht gezählt. Wenn wir uns auf die Daten der jährlichen Umfragestudie des Unternehmens stützen, aus der hervorgeht, dass nur 12% der Unternehmen vor Gericht gehen, ist die Gesamtzahl der Ansprüche offensichtlich könnte viel größer sein.

Wollen Unternehmen vor Gericht gehen? Ja und nein. Sie gehen entweder vor Gericht, um das Image des Guten und Gerechten zu unterstützen, oder wenn der Hype steigt und Untätigkeit für sich selbst teurer wird.

Landing Digest. Spezialist für Informationssicherheit

Das Geschäft schützt seine Interessen fast nicht

Strafen

Gesamt

More articles: