Get best of the week

Landing Digest. Especialista en seguridad de la información

La primavera, la cuarentena y las plántulas apagadas en el alféizar de la ventana inspiraron un nombre divertido para la publicación. Pero su contenido es bastante serio. Yo trabajo en SearchInformy antes, a menudo escuchaba la opinión de que el sistema DLP y la corte son conceptos incompatibles. Como, este juego no vale la pena. Así que fue hace aproximadamente 9 años, cuando la razón principal de la renuencia a ir a la corte fue la falta de preparación "en papel" de la compañía con respecto a la etapa Pre-DLP. Otra razón fue la incertidumbre (a veces justificada) de que el tribunal no quisiera profundizar en las complejidades de proteger la información con la ayuda de un software especializado. Sin embargo, en los últimos años, esta posición se ha expresado cada vez menos. Se volvió interesante si la situación en los tribunales había cambiado o si la gente simplemente estaba cansada. Por lo tanto, con la aprobación de los líderes, mi colega y yo nos sentamos a buscar y analizar casos que en 2019 fueron examinados por los tribunales en virtud de cuatro artículos del Código Penal de la Federación de Rusia sobre la manipulación de información informática. Resultados bajo el corte.

Estábamos interesados ​​en casos de fraude con documentos, bases de datos y cualquier información confidencial utilizando la posición oficial.

Estas son violaciones bajo los artículos del Código Penal de la Federación Rusa:

  • 183 (parte 2 y 3): recepción y divulgación ilegal de información que constituye un secreto comercial, fiscal o bancario;
  • 272 (partes 1, 2 y 3) - acceso ilegal a la información de la computadora;
  • 159.6 (parte 3) - fraude en el campo de la información informática;
  • 138 (Parte 2): violación de la confidencialidad de la correspondencia, conversaciones telefónicas, postales, telegráficas u otros mensajes.

Y aquí me gustaría resumir algunos puntos de inmediato:

  1. ? . . () , . , .
  2. ? 262- , ( ). , , – . sudrf.ru .
  3. ¿Qué tan completo es el estudio? Completa tanto como sea posible. En primer lugar, los materiales sobre recursos públicos no se publican de inmediato. Retraso de aproximadamente un mes. En segundo lugar, parte de los casos durante la consideración pasa a un estado legal diferente. En tercer lugar, hay apelaciones. Por lo tanto, en 2019, hay dos cosas "nacidas" de años pasados, y aquellas que comenzaron, pero se trasladaron a 2020. Finalmente, cuarto. Hay cargos con varios artículos a la vez. Por ejemplo, el art. 138 a menudo "camina en pareja" con el art. 272. Como resultado, atribuimos tales casos como parte del cálculo estadístico a ambos grupos.

En general, el objetivo de pretender ser académico no fue originalmente pensado. Sin embargo, en cada caso, la información ha sido verificada dos veces y más de una vez, resumida de la gran hoja del lenguaje legal en el párrafo del humano, en esencia. Vamos.


La mayoría de los reclamos fueron presentados contra los infractores de la industria de las telecomunicaciones, que representan aproximadamente el 70% de los casos. Pero esta situación se debe principalmente a las violaciones masivas de conformidad con el Artículo 138 (Parte 2) : violación del secreto de la correspondencia. Los operadores de telecomunicaciones y sus "hijas" demandan a los empleados por el acceso ilegal a la información sobre los detalles de las llamadas.

Las circunstancias de los casos suelen ser muy similares. Los empleados acceden a los datos sin necesidad oficial debido al deseo de vender información sobre las negociaciones de los suscriptores (el llamado "avance"). Hubo menos casos de "agotamiento de la amistad", cuando el motivo de la acción fue el deseo de ayudar desinteresadamente a un amigo. Los empleados de los salones de comunicación / operadores de telecomunicaciones a menudo salen a la calle; solicitan información por una tarifa. Como regla, muy modesto, no más de unos pocos cientos de rublos.

También a menudo los empleados del sector de telecomunicaciones son juzgados de acuerdo con el Artículo 272 (partes 1, 2, 3, acceso ilegal a la información) . El escenario más común es realizar cambios en la base de datos para reemplazar la tarjeta SIM. Este estado de cosas no es nada agradable, porque el empleado realiza manipulaciones con la información, por regla general, con el objetivo de retirar dinero de la cuenta del suscriptor ( como en este caso ) o por una tarifa a solicitud de un tercero ( como aquí ).

imagen

Distribución de reclamaciones por industria, artículo 272

Hay otros motivos. En un caso, una mujer condenada volvió a liberar tarjetas SIM de clientes que conocía "por venganza y hostilidad": acudió a sus cuentas en las redes sociales, donde publicó información comprometedora.

Se impusieron varias sentencias con respecto a los empleados que, en venganza, borraron o echaron a perder información en los sitios web de sus organizaciones.
Después del despido, el especialista en TI del tribunal de distrito inició sesión en el sistema de administración del sitio con una contraseña diferente, cambió el acceso y eliminó la información allí (se dice sobre 645 eventos de eliminación, incluidas secciones completas). Por cierto, el infractor encontró la contraseña en el lugar de trabajo: estaba escrita en una hoja de papel que quedaba en la sala del servidor. El convicto fue sentenciado a seis meses de trabajo correctivo con una deducción del 10% de las ganancias en ingresos estatales ( referencia a su caso ).
Según otros artículos, las circunstancias de los incidentes no son tan uniformes. Según el art. 183 (Parte 2 y Parte 3, divulgación de secretos comerciales, impositivos o bancarios) a menudo también condenan a los empleados de operadores de telecomunicaciones y empleados de salones de comunicación (40%), pero los representantes del sector bancario traen la misma cantidad a los tribunales.

, . ( ) , , , , . , 514 110 . , . , , , «» . , .. : , . , (enlace al caso ).

imagen

Distribución de reclamos por industria, artículo 183
según artículo 159.6 considerar casos relacionados con la modificación de información: archivos, bases de datos. El año pasado, se tomaron 79 decisiones bajo este artículo, pero no se publicaron suficientes textos sobre violaciones de acceso público, por lo que es difícil sacar conclusiones sobre casos típicos que llevaron a los empleadores a los tribunales.

El caso más notable, cuya información se publica, es la historia de un empleado de la sucursal Ulyanovsk de un gran banco federal. En el programa para trabajar con las tarjetas de pago del cliente, aumentó varias veces el límite en su propia tarjeta y luego en la tarjeta del cómplice. Al principio, las cantidades eran pequeñas, luego crecieron hasta 25,9 millones de rublos. Noticias de

texto legal seco elocuenteen los medios locales sobre el "mayor incidente cibernético" en la región. Los periodistas describieron el proceso contra un cómplice de un empleado del banco. Ayudó a retirar dinero y compró seis autos caros (Audi, Volvo, Mercedes-Benz), lingotes de oro, teléfonos móviles y joyas y otros bienes. Inmediatamente vendió toda esta riqueza para legalizar los fondos robados. Fue juzgado en enero de 2019. Pero estamos interesados ​​en el proceso contra el funcionario. Fue atrapado más tarde, su juicio tuvo lugar en el verano ( enlace al caso ). Recibieron 5 años y 3 meses en una colonia penal y una multa de 250,000 rublos.

Las empresas casi no protegen sus intereses.


En nuestras estadísticas judiciales, también tratamos de encontrar casos para nuestros clientes que revelen detalles de fraude corporativo cuando la compañía misma es la víctima. Dichos casos se consideran principalmente en virtud del artículo 183 (divulgación de secretos comerciales). Hay tales afirmaciones, pero son mucho más raras. Aquí hay dos ejemplos:
Un empleado de una compañía de seguros cargó datos del sistema y transmitió información a una compañía competidora por correo corporativo. En total, la decisión del tribunal se refiere a 45 episodios. El tribunal desestimó el caso al imponer una multa de 10 mil rublos. En una demanda similar contra un empleado de una empresa manufacturera, el castigo fue de 1,5 años de trabajo correccional con el 20% de las ganancias en ingresos estatales (referencia al texto del primer caso y el segundo ).

imagen

Distribución de reclamos por industria, datos sobre 4 artículos

Resulta que las compañías están mucho más dispuestas a ir a los tribunales bajo la amenaza de riesgos de imagen, cuando la "cara" puede sufrir seriamente. Prefieren defender sus intereses en el orden previo al juicio; la mayoría simplemente despide a los infractores (60% según nuestra investigación ).

Sanciones


imagen

Castigos en virtud del art. 272 (parte 1, 2, 3), 183 (parte 2, 3), 138 (parte 2)

Con respecto a los castigos, es digno de mención que por delitos relacionados con la transferencia de datos personales y los detalles de las negociaciones, castigan con bastante facilidad. A menudo, las sentencias se refieren al artículo 73 del Código Penal de la Federación de Rusia (condena condicional). Y aunque no hay una indicación específica del párrafo, lo más probable es que se refieran al párrafo 2: al imponer una sentencia condicional, el tribunal tiene en cuenta la naturaleza y el grado de peligro público del delito cometido, la identidad del autor, incluidas las circunstancias atenuantes y agravantes. La lógica, aparentemente, es esta: las violaciones se cometieron "por estupidez" o por un pequeño interés propio, y el castigo es, por así decirlo, de naturaleza educativa. Pero estas cosas son engañosamente inofensivas. Persdan está interesado en un número ilimitado de intrusos y puede "caminar" en el dominio público indefinidamente.

imagen

El uso de una multa como castigo en el marco de un veredicto de culpabilidad según los artículos

Pero lo que el tribunal trata con mucho más cuidado es el drenaje y el acceso no autorizado que están conectados o pueden conducir a un cambio en la información personal, el robo de dinero de las cuentas. Entonces, de acuerdo con el Artículo 272, es mucho más frecuente que ellos designen no una multa, sino una sentencia suspendida o restricción de libertad. Pero la proporcionalidad de la multa y el castigo plantea preguntas aquí. Aquí hay un ejemplo.
Una de las multas más pequeñas, 5 mil rublos, fue asignada por el tribunal al oficial de FMS, quien, a pedido de un amigo, eliminó la información de antecedentes penales de una tarjeta de la base Migrante-1. Pudo hacer esto desde casa, utilizando el acceso remoto a la base de datos ( caso ).
Para los tres artículos restantes, la decisión más frecuente es desestimar el caso e imponer una multa de 8 a 110 mil rublos (el acusado se declara culpable, paga una multa, no recibe antecedentes penales). Muy a menudo, el tribunal liberó de responsabilidad penal a los que fueron juzgados en virtud del art. 138, parte 2 - violación de la confidencialidad de la correspondencia. Según este artículo, se otorgó una multa judicial en el 63% de los casos.

Si el caso fue llevado a un veredicto, entonces aquí la multa resultó ser el castigo más común, en el 31% de los casos. Los jueces fueron castigados un poco menos con una sentencia suspendida y restricción de libertad, en la cantidad del 29% de los casos. El término real se proporciona como castigo para todos los artículos considerados. Pero los jueces casi nunca lo aplican. En los casos examinados, cumplieron la sanción solo una vez, en el caso del retiro de más de 25 millones de rublos del banco (la historia se mencionó anteriormente).

Total


Las conclusiones pueden hacerse diferentes. Por ejemplo, esa vida, como siempre, es más rica que cualquier ficción: curiosidad, interés propio, venganza, estupidez, error, motivos por los cuales las personas invaden la información de otras personas.

Mi colega y yo, con nuestras consideraciones "iBesh". Para todo el 2019, contamos 327 casos en los tribunales en los cuatro artículos en partes que se indicaron al comienzo de la publicación.Si confiamos en los datos de la encuesta-estudio anual de la compañía, que dice que solo el 12% de las compañías van a los tribunales, el número total de reclamos es obviamente , podría ser mucho más grande.

¿Las empresas quieren ir a los tribunales? Si y no. Acuden a la corte para apoyar la imagen de lo bueno y lo justo, o cuando aumenta el entusiasmo y la inacción se vuelve más costosa para uno mismo.

More articles:


All Articles