Get best of the week

Landing Digest. Spécialiste de la sécurité de l'information

Le printemps, la quarantaine et les semis trempés sur le rebord de la fenêtre ont inspiré un drôle de nom pour le poste. Mais son contenu est assez sérieux. Je travaille dans SearchInformet auparavant, j'ai souvent entendu l'opinion que le système DLP et le tribunal étaient des concepts incompatibles. Comme, ce jeu ne vaut pas la chandelle. C'était donc il y a environ 9 ans, lorsque la principale raison de la réticence à aller en justice était le manque de préparation «papier» de la société en ce qui concerne l'étape pré-DLP. Une autre raison était l'incertitude (parfois justifiée) que le tribunal ne voudrait pas approfondir dans les subtilités de la protection des informations à l'aide de logiciels spécialisés. Cependant, au cours des deux dernières années, cette position a été de moins en moins exprimée. Il est devenu intéressant de savoir si la situation dans les tribunaux avait changé ou si les gens étaient simplement fatigués. Par conséquent, avec l'approbation de la direction, mon collègue et moi nous sommes assis pour rechercher et analyser les affaires qui, en 2019, ont été examinées par les tribunaux en vertu de quatre articles du Code pénal de la Fédération de Russie sur la manipulation d'informations informatiques. Résultats sous la coupe.

Nous étions intéressés par des cas de fraude avec des documents, des bases de données et toute information confidentielle utilisant une position officielle.

Ce sont des violations des articles du Code pénal de la Fédération de Russie:

  • 183 (parties 2 et 3) - réception et divulgation illégales d'informations constituant un secret commercial, fiscal ou bancaire;
  • 272 (parties 1, 2 et 3) - accès illégal aux informations informatiques;
  • 159.6 (partie 3) - fraude dans le domaine des informations informatiques;
  • 138 (Partie 2) - violation de la confidentialité de la correspondance, des conversations téléphoniques, des messages postaux, télégraphiques ou autres.

Et ici, je voudrais immédiatement souligner quelques points:

  1. ? . . () , . , .
  2. ? 262- , ( ). , , – . sudrf.ru .
  3. Dans quelle mesure l'étude est-elle complète? Remplissez autant que possible. Premièrement, les documents sur les ressources publiques ne sont pas publiés immédiatement. Délai d'environ un mois. Deuxièmement, une partie des affaires examinées passe à un statut juridique différent. Troisièmement, il y a des appels. Par conséquent, en 2019, il y a à la fois des choses «nées» des années passées et celles qui ont commencé, mais qui ont déménagé en 2020. Enfin, quatrièmement. Des frais s'appliquent à plusieurs articles à la fois. Par exemple, l'art. 138 «marche souvent à deux» avec l'art. 272. En conséquence, nous avons attribué ces cas dans le cadre du calcul statistique aux deux groupes.

En général, l'objectif de prétendre être académique n'était pas prévu à l'origine. Néanmoins, dans chaque cas, les informations ont été revérifiées et plus d'une fois, décrites de l'énorme feuille du langage juridique dans le paragraphe de l'humain - en substance. Aller.


La plupart des plaintes ont été déposées contre des contrevenants du secteur des télécommunications, représentant environ 70% des cas. Mais cette situation est principalement due aux violations massives conformément à l'article 138 (partie 2) - violation du secret de la correspondance. Les opérateurs de télécommunications et leurs «filles» poursuivent les employés en justice pour accès illégal aux informations relatives aux appels.

Les circonstances des affaires sont généralement très similaires. Les employés accèdent aux données sans besoin officiel en raison d'une volonté de vendre des informations sur les négociations des abonnés (ce que l'on appelle la «percée»). Il y a eu moins de cas de «fuite sur l'amitié», lorsque le motif de l'action était le désir d'aider altruiste un ami. Les employés des salons de communication \ opérateurs télécoms sortent souvent - ils demandent des informations moyennant des frais. En règle générale, très modeste - pas plus de quelques centaines de roubles.

Souvent, les employés du secteur des télécommunications sont également jugés conformément à l'article 272 (parties 1, 2, 3, accès illégal à l'information) . Le scénario le plus courant consiste à apporter des modifications à la base de données afin de remplacer la carte SIM. Cet état de fait n'est pas du tout agréable, car le salarié manipule les informations, en règle générale, dans le but de retirer de l'argent du compte de l'abonné ( comme dans ce cas ) ou moyennant des frais à la demande d'un tiers ( comme ici ).

image

Répartition des créances par branche d’activité, article 272

Il existe d’autres motifs. Dans un cas, la condamnée a réédité les cartes SIM des clients qu'elle connaissait «par vengeance et hostilité»: elle s'est rendue sur leurs comptes sur les réseaux sociaux, où elle a posté des informations compromettantes.

Plusieurs peines ont été infligées à des employés qui, par vengeance, ont supprimé ou gâché des informations sur les sites Web de leurs organisations.
Après le licenciement, l'informaticien du tribunal de district s'est connecté au système de gestion du site avec un mot de passe différent, a modifié l'accès et supprimé les informations (il est question d'environ 645 événements de suppression, y compris des sections entières). Soit dit en passant, le contrevenant a trouvé le mot de passe juste sur le lieu de travail - il a été écrit sur un morceau de papier laissé dans la salle des serveurs. Le condamné a été condamné à six mois de travaux correctifs avec une déduction de 10% des revenus de l'État ( référence à son cas ).
Aux termes d'autres articles, les circonstances des incidents ne sont pas aussi uniformes. Selon 183 art. (Partie 2 et Partie 3, divulgation de secrets commerciaux, fiscaux ou bancaires) condamnent également souvent les salariés des opérateurs télécoms et les salariés des salons de la communication (40%), mais le même montant est porté devant les tribunaux par des représentants du secteur bancaire.

, . ( ) , , , , . , 514 110 . , . , , , «» . , .. : , . , (lien vers l'affaire ).

image

Répartition des créances par branche d’activité, article 183
selon l’ article 159.6 examiner les cas liés à la modification d'informations - fichiers, bases de données. L'année dernière, 79 décisions ont été prises en vertu de cet article, mais peu de textes ont été publiés sur les violations de l'accès du public, il est donc difficile de tirer des conclusions sur les raisons typiques qui ont amené les employeurs devant les tribunaux.

Le cas le plus notable, dont les informations sont publiées, est l'histoire d'un employé de la succursale d'Oulianovsk d'une grande banque fédérale. Dans le cadre du programme de travail avec les cartes de paiement du client, il a plusieurs fois augmenté la limite de sa propre carte, puis de la carte du complice. Au début, les montants étaient faibles, puis ils ont atteint 25,9 millions de roubles. Nouvelles

éloquentes de texte juridique secdans les médias locaux sur le «plus grand cyber-incident» de la région. Les journalistes ont décrit le processus contre un complice d'un employé de banque. Il a aidé à retirer de l'argent et a acheté six voitures chères (Audi, Volvo, Mercedes-Benz), des lingots d'or, des téléphones portables, des bijoux et d'autres biens. Il a immédiatement vendu toute cette richesse pour légaliser les fonds volés. Il a été jugé en janvier 2019. Mais nous sommes intéressés par le processus contre le fonctionnaire. Il a été arrêté plus tard, son procès a eu lieu cet été ( lien vers l'affaire ). Ils ont été condamnés à 5 ans et 3 mois dans une colonie pénitentiaire et à une amende de 250 000 roubles.

Les entreprises ne protègent presque pas leurs intérêts


Dans nos statistiques judiciaires, nous avons également essayé de trouver des cas pour nos clients qui révèlent des détails de fraude d'entreprise lorsque l'entreprise elle-même est la victime. Ces cas sont examinés principalement au titre de l'article 183 (divulgation des secrets d'affaires). Il existe de telles allégations, mais elles sont beaucoup plus rares. Voici deux exemples:
Un employé d'une compagnie d'assurance a téléchargé des données du système et transmis des informations à une entreprise concurrente par courrier électronique. Au total, la décision du tribunal fait référence à 45 épisodes. Le tribunal a rejeté l'affaire en imposant une amende de 10 mille roubles. Dans une action en justice similaire contre un employé d'une entreprise manufacturière, la peine était de 1,5 an de travail correctionnel avec 20% des revenus de l'État (référence au texte du premier cas et du second ).

image

Répartition des réclamations par branche d'activité, données sur 4 articles

Il s'avère que les entreprises sont beaucoup plus disposées à aller devant les tribunaux sous la menace des risques d'image, lorsque le «visage» peut sérieusement en souffrir. Ils préfèrent défendre leurs intérêts dans l'ordonnance de mise en état; la plupart rejettent simplement les contrevenants (60% selon nos recherches ).

Sanctions


image

Peines prévues à l'art. 272 (partie 1, 2, 3), 183 (partie 2, 3), 138 (partie 2)

En ce qui concerne les sanctions, il convient de noter que pour les délits liés au transfert de données personnelles et aux détails des négociations, elles punissent assez facilement. Souvent, les condamnations renvoient à l'article 73 du Code pénal de la Fédération de Russie (condamnation avec sursis). Et bien qu'il n'y ait aucune indication spécifique sur le paragraphe, ils se réfèrent très probablement au paragraphe 2: Lors de l'imposition d'une peine avec sursis, le tribunal tient compte de la nature et du degré de danger public du crime commis, de l'identité de l'auteur, y compris des circonstances atténuantes et aggravantes. La logique est apparemment la suivante: les violations ont été commises «par stupidité» ou par un petit intérêt personnel, et la punition est, pour ainsi dire, éducative. Mais ces choses sont faussement inoffensives. Persdan s'intéresse à un nombre illimité d'intrus et peut "marcher" indéfiniment dans le domaine public.

image

L'utilisation d'une amende comme sanction dans le cadre d'un verdict de culpabilité en vertu des articles

Mais ce que le tribunal traite avec beaucoup plus de soin, c'est la fuite et l'accès non autorisé qui sont connectés ou peuvent entraîner un changement des informations personnelles, un vol d'argent dans les comptes. Ainsi, selon l'article 272, il est beaucoup plus fréquent qu'ils nomment non pas une amende, mais une peine avec sursis ou une restriction de liberté. Mais la proportionnalité de l'amende et de la peine soulève ici des questions. Voici un exemple.
L'une des plus petites amendes - 5 000 roubles - a été attribuée par le tribunal à l'officier du FMS qui, à la demande d'un ami, a supprimé les informations du casier judiciaire d'une carte de la base Migrant-1. Il a pu le faire depuis son domicile, en utilisant l'accès à distance à la base de données ( cas ).
Pour les trois autres articles, la décision la plus fréquente est de classer l'affaire et d'imposer une amende de 8 à 110 mille roubles (l'accusé plaide coupable, paie une amende, ne reçoit pas de casier judiciaire). Le plus souvent, le tribunal libère de toute responsabilité pénale ceux qui ont été jugés en vertu de l'art. 138, partie 2 - violation de la confidentialité de la correspondance. En vertu de cet article, une amende judiciaire a été infligée dans 63% des cas.

Si l'affaire a été jugée, alors l'amende s'est avérée être la sanction la plus courante - dans 31% des cas. Les juges ont été un peu moins punis d'une peine avec sursis et d'une restriction de liberté - à hauteur de 29% des cas. Le terme réel est donné à titre de sanction pour tous les articles à l'examen. Mais les juges ne l'appliquent presque jamais. Dans les cas examinés, ils n'ont été sanctionnés qu'une seule fois, dans le cas du retrait de plus de 25 millions de roubles de la banque (l'histoire a été mentionnée ci-dessus).

Total


Les conclusions peuvent être tirées différemment. Par exemple, cette vie, comme toujours, est plus riche que n'importe quelle fiction: curiosité, intérêt personnel, vengeance, stupidité, erreur - motifs par lesquels les gens empiètent sur les informations des autres.

Mon collègue et moi, avec nos considérations "iBesh". Pour l'ensemble 2019 , les tribunaux, nous avons compté 327 cas dans les quatre articles dans certaines parties ont été montré au début du Carême Si vous comptez sur les données de l'année enquête-recherche sur l'entreprise, qui disent que seulement 12% des entreprises va au tribunal, le nombre total de demandes, de toute évidence , pourrait être beaucoup plus grand.

Les entreprises veulent-elles aller en justice? Oui et non. Ils s'adressent aux tribunaux soit pour soutenir l'image du bien et du bien, soit lorsque le battage médiatique augmente et que l'inaction devient plus coûteuse pour soi.

More articles:


All Articles