Get best of the week

Intisari Pendaratan. Spesialis Keamanan Informasi

Musim semi, karantina, dan bibit yang dipadamkan di ambang jendela mengilhami nama lucu untuk pos itu. Tetapi isinya cukup serius. Saya bekerja di SearchInformdan sebelumnya, cukup sering saya mendengar pendapat bahwa sistem DLP dan pengadilan adalah konsep yang tidak kompatibel. Seperti, game ini tidak bernilai lilin. Jadi itu sekitar 9 tahun yang lalu, ketika alasan utama keengganan untuk pergi ke pengadilan adalah "kertas" ketidaksiapan perusahaan mengenai tahap Pra-DLP. Alasan lain adalah ketidakpastian (kadang-kadang dibenarkan) bahwa pengadilan tidak ingin menyelidiki seluk-beluk melindungi informasi dengan bantuan perangkat lunak khusus. Namun, dalam beberapa tahun terakhir posisi ini telah disuarakan semakin sedikit. Menjadi menarik apakah situasi di pengadilan telah berubah atau jika orang hanya lelah. Karena itu, dengan persetujuan pimpinan, saya dan kolega saya duduk untuk mencari dan menganalisis kasus-kasus yang pada tahun 2019 diperiksa oleh pengadilan di bawah empat artikel KUHP Federasi Rusia mengenai manipulasi informasi komputer. Hasil di bawah cut.

Kami tertarik pada kasus penipuan dengan dokumen, database, dan informasi rahasia apa pun yang menggunakan posisi resmi.

Ini adalah pelanggaran berdasarkan artikel KUHP Federasi Rusia:

  • 183 (bagian 2 dan 3) - penerimaan ilegal dan pengungkapan informasi yang merupakan rahasia komersial, pajak atau perbankan;
  • 272 (bagian 1, 2 dan 3) - akses yang melanggar hukum ke informasi komputer;
  • 159.6 (bagian 3) - penipuan di bidang informasi komputer;
  • 138 (Bagian 2) - pelanggaran kerahasiaan korespondensi, percakapan telepon, pos, telegraf atau pesan lainnya.

Dan di sini saya langsung ingin menguraikan beberapa poin:

  1. ? . . () , . , .
  2. ? 262- , ( ). , , – . sudrf.ru .
  3. Seberapa lengkap penelitiannya? Selesaikan sebanyak mungkin. Pertama, materi tentang sumber daya publik tidak segera dipublikasikan. Tertunda sekitar sebulan. Kedua, bagian dari kasus selama pertimbangan beralih ke status hukum yang berbeda. Ketiga, ada banding. Oleh karena itu, pada tahun 2019, ada dua hal yang β€œlahir” dari tahun-tahun sebelumnya, dan yang dimulai, tetapi pindah ke tahun 2020. Akhirnya, keempat. Ada biaya dengan beberapa artikel sekaligus. Misalnya, Seni. 138 sering "berjalan berpasangan" dengan seni. 272. Sebagai hasilnya, kami menghubungkan kasus-kasus seperti itu sebagai bagian dari perhitungan statistik untuk kedua kelompok.

Secara umum, tujuan berpura-pura menjadi akademis pada awalnya tidak dimaksudkan. Namun demikian, dalam setiap kasus, informasinya telah diperiksa dua kali dan lebih dari sekali, diuraikan dari lembaran besar bahasa hukum ke dalam paragraf manusia - pada intinya. Pergilah.


Sebagian besar klaim diajukan terhadap pelanggar dari industri telekomunikasi, terhitung sekitar 70% dari kasus. Tetapi situasi ini terutama disebabkan oleh pelanggaran massa sesuai dengan Pasal 138 (Bagian 2) - pelanggaran kerahasiaan korespondensi. Operator telekomunikasi dan "anak perempuan" mereka menuntut karyawan atas perlakuan tidak sah atas informasi tentang perincian panggilan.

Keadaan kasus biasanya sangat mirip. Karyawan mengakses data tanpa perlu resmi karena keinginan untuk menjual informasi tentang negosiasi pelanggan (yang disebut "menerobos"). Ada lebih sedikit kasus "kehabisan persahabatan," ketika motif untuk bertindak adalah keinginan untuk tanpa pamrih membantu teman. Karyawan salon komunikasi \ operator telekomunikasi sering pergi ke luar - mereka meminta informasi dengan biaya. Sebagai aturan, sangat sederhana - tidak lebih dari beberapa ratus rubel.

Seringkali pula karyawan dari sektor telekomunikasi dinilai berdasarkan Pasal 272 (bagian 1, 2, 3, akses ilegal ke informasi) . Skenario yang paling umum adalah membuat perubahan pada basis data untuk mengganti kartu SIM. Keadaan ini sama sekali tidak menyenangkan, karena karyawan membuat manipulasi dengan informasi, sebagai suatu peraturan, dengan tujuan menarik uang dari akun pelanggan ( seperti dalam kasus ini ) atau untuk remunerasi atas permintaan pihak ketiga ( seperti di sini ).

gambar

Distribusi klaim oleh industri, Pasal 272

Ada motif lain. Dalam satu kasus, seorang wanita terpidana merilis kembali kartu SIM klien yang dia tahu "karena balas dendam dan permusuhan": dia pergi ke akun mereka di jejaring sosial, di mana dia memposting informasi yang membahayakan.

Beberapa hukuman dijatuhkan sehubungan dengan karyawan yang, sebagai pembalasan, menghapus atau merusak informasi di situs web organisasi mereka.
Setelah pemecatan, spesialis TI pengadilan distrik masuk ke sistem manajemen situs dengan kata sandi yang berbeda, mengubah akses, dan menghapus informasi di sana (dikatakan sekitar 645 peristiwa penghapusan, termasuk seluruh bagian). By the way, pelanggar menemukan kata sandi tepat di tempat kerja - itu dituliskan di selembar kertas yang tersisa di ruang server. Terpidana dijatuhi hukuman enam bulan kerja korektif dengan pengurangan 10% dari pendapatan dalam penerimaan negara ( merujuk pada kasusnya ).
Di bawah artikel lain, keadaan insiden tidak begitu seragam. Menurut 183 Art. (Bagian 2 dan Bagian 3, pengungkapan rahasia komersial, pajak atau perbankan) juga sering mengutuk karyawan operator telekomunikasi dan karyawan salon komunikasi (40%), tetapi jumlah yang sama dibawa ke pengadilan oleh perwakilan dari sektor perbankan.

, . ( ) , , , , . , 514 110 . , . , , , «» . , .. : , . , (tautan ke kasing ).

gambar

Distribusi klaim menurut industri, Pasal 183
Menurut Pasal 159.6 mempertimbangkan kasus-kasus yang berkaitan dengan modifikasi informasi - file, basis data. Tahun lalu, 79 keputusan dibuat berdasarkan artikel ini, tetapi tidak cukup banyak teks yang diterbitkan tentang pelanggaran akses publik, sehingga sulit untuk menarik kesimpulan tentang kasus-kasus khas yang membawa pengusaha ke pengadilan.

Kasus yang paling menonjol, informasi yang dipublikasikan, adalah kisah seorang karyawan cabang Ulyanovsk dari sebuah bank federal besar. Dalam program untuk bekerja dengan kartu pembayaran pelanggan, ia beberapa kali meningkatkan batas pada kartunya sendiri, dan kemudian pada kartu kaki tangan. Pada awalnya, jumlahnya kecil, kemudian mereka tumbuh hingga 25,9 juta rubel. Berita

teks hukum fasih keringdi media lokal tentang "insiden cyber terbesar" di wilayah tersebut. Jurnalis menggambarkan proses terhadap kaki tangan seorang karyawan bank. Dia membantu menarik uang dan membeli enam mobil mahal (Audi, Volvo, Mercedes-Benz), batangan emas, ponsel, perhiasan, dan barang-barang lainnya. Dia segera menjual semua kekayaan ini untuk melegalkan dana curian. Dia diadili pada Januari 2019. Tapi kami tertarik pada proses melawan pejabat. Dia ditangkap kemudian, persidangannya berlangsung di musim panas ( tautan ke kasus ). Mereka diberi waktu 5 tahun 3 bulan di sebuah koloni hukuman dan denda 250.000 rubel.

Bisnis hampir tidak melindungi kepentingannya


Dalam statistik pengadilan kami, kami juga mencoba menemukan kasus untuk pelanggan kami yang mengungkapkan rincian penipuan perusahaan ketika perusahaan itu sendiri adalah korban. Kasus-kasus semacam itu dianggap terutama berdasarkan Pasal 183 (pengungkapan rahasia dagang). Ada klaim seperti itu, tetapi mereka jauh lebih langka. Berikut ini dua contoh:
Seorang karyawan perusahaan asuransi mengunggah data dari sistem dan mengirimkan informasi ke perusahaan pesaing melalui surat perusahaan. Secara total, keputusan pengadilan mengacu pada 45 episode. Pengadilan menolak kasus itu dengan mengenakan denda 10 ribu rubel. Dalam gugatan serupa terhadap seorang karyawan perusahaan manufaktur, hukumannya adalah 1,5 tahun kerja pemasyarakatan dengan 20% pendapatan dalam pendapatan negara (merujuk pada teks kasus pertama dan kedua ).

gambar

Distribusi klaim oleh industri, data pada 4 artikel

Ternyata perusahaan jauh lebih bersedia untuk pergi ke pengadilan di bawah ancaman risiko gambar, ketika "wajah" bisa sangat menderita. Mereka lebih memilih untuk membela kepentingan mereka dalam tatanan praperadilan, sebagian besar hanya memberhentikan pelanggar (60% menurut penelitian kami ).

Hukuman


gambar

Hukuman di bawah Seni. 272 (bagian 1, 2, 3), 183 (bagian 2, 3), 138 (bagian 2)

Berkenaan dengan hukuman, perlu dicatat bahwa untuk kejahatan yang terkait dengan transfer data pribadi dan perincian negosiasi, mereka menghukum dengan cukup mudah. Seringkali, hukuman merujuk pada Pasal 73 KUHP Federasi Rusia (Keyakinan kondisional). Dan meskipun tidak ada indikasi spesifik dari paragraf, mereka kemungkinan besar merujuk pada paragraf 2: Ketika menjatuhkan hukuman bersyarat, pengadilan mempertimbangkan sifat dan tingkat bahaya publik dari kejahatan yang dilakukan, identitas pelaku, termasuk mitigasi dan keadaan yang memberatkan. Logikanya, tampaknya, adalah ini: pelanggaran dilakukan "karena kebodohan" atau karena kepentingan pribadi kecil, dan hukumannya, seolah-olah, bersifat pendidikan. Tetapi hal-hal ini tampak tidak berbahaya. Persdan tertarik dengan jumlah penyusup yang tidak terbatas dan dapat "berjalan" dalam domain publik tanpa batas.

gambar

Penggunaan denda sebagai hukuman dalam kerangka vonis bersalah berdasarkan pasal-pasal tersebut

Tetapi yang diperlakukan lebih hati-hati oleh pengadilan adalah pengurasan dan akses tidak sah yang terhubung atau dapat menyebabkan perubahan informasi pribadi, pencurian uang dari rekening. Jadi, menurut Pasal 272, jauh lebih sering bahwa mereka menunjuk bukan denda, tetapi hukuman yang ditangguhkan atau pembatasan kebebasan. Tetapi proporsionalitas denda dan hukuman menimbulkan pertanyaan di sini. Berikut ini sebuah contoh.
Salah satu denda terkecil - 5 ribu rubel - ditugaskan oleh pengadilan kepada petugas FMS, yang, atas permintaan seorang teman, menghapus informasi catatan kriminal dari satu kartu pangkalan Migran-1. Dia bisa melakukan ini dari rumah, menggunakan akses jarak jauh ke basis data ( kasing ).
Untuk tiga artikel yang tersisa, keputusan paling umum adalah memberhentikan kasus tersebut dan menjatuhkan denda dari 8 hingga 110 ribu rubel (terdakwa mengaku bersalah, membayar denda, tidak menerima catatan kriminal). Paling sering, pengadilan dibebaskan dari tanggung jawab pidana terhadap mereka yang diadili berdasarkan Art. 138, bagian 2 - pelanggaran kerahasiaan korespondensi. Berdasarkan artikel ini, denda peradilan diberikan dalam 63% kasus.

Jika kasus tersebut dibawa ke vonis, maka di sini denda tersebut ternyata menjadi hukuman yang paling umum - dalam 31% kasus. Hakim dihukum sedikit kurang dengan hukuman percobaan dan pembatasan kebebasan - dalam jumlah 29% dari kasus. Istilah sebenarnya diberikan sebagai hukuman untuk semua artikel yang dipertimbangkan. Namun hakim hampir tidak pernah menerapkannya. Dalam kasus-kasus yang diperiksa, mereka hanya mendapat sanksi satu kali, dalam kasus penarikan 25+ juta rubel dari bank (kisah itu disebutkan di atas).

Total


Kesimpulan bisa dibuat berbeda. Misalnya, bahwa kehidupan, seperti biasa, lebih kaya daripada fiksi apa pun: keingintahuan, kepentingan diri sendiri, balas dendam, kebodohan, kesalahan - motif yang digunakan orang untuk melanggar informasi orang lain.

Kolega saya dan saya, dengan pertimbangan "iBesh" kami. Untuk keseluruhan tahun 2019, kami menghitung 327 kasus di pengadilan di semua empat artikel di bagian yang ditunjukkan pada awal posting. Jika kami mengandalkan data survei-studi tahunan dari perusahaan, yang mengatakan bahwa hanya 12% dari perusahaan pergi ke pengadilan, jumlah total klaim jelas , bisa jauh lebih besar.

Apakah perusahaan ingin pergi ke pengadilan? Iya dan tidak. Mereka pergi ke pengadilan baik untuk mendukung citra yang baik dan adil, atau ketika hype naik dan tidak bertindak menjadi lebih mahal untuk diri sendiri.

More articles:


All Articles