Get best of the week

Resumo da aterrissagem. Especialista em Segurança da Informação

Primavera, quarentena e mudas extintas no peitoril da janela inspiraram um nome engraçado para o posto. Mas seu conteúdo é bastante sério. Eu trabalho no SearchInforme antes, muitas vezes ouvi a opinião de que o sistema DLP e o tribunal são conceitos incompatíveis. Como, este jogo não vale a pena. Assim, foi há cerca de 9 anos, quando o principal motivo da relutância em ir a tribunal foi o despreparo "papel" da empresa em relação ao estágio Pré-DLP. Outro motivo foi a incerteza (às vezes justificada) de que o tribunal não iria querer investigar os meandros da proteção de informações com a ajuda de software especializado. No entanto, nos últimos dois anos, essa posição foi expressa cada vez menos. Tornou-se interessante se a situação nos tribunais havia mudado ou se as pessoas estavam apenas cansadas. Portanto, com a aprovação da liderança, meu colega e eu nos sentamos para a pesquisa e análise de casos que em 2019 foram examinados pelos tribunais sob quatro artigos do Código Penal da Federação Russa sobre a manipulação de informações de computador. Resultados sob o corte.

Estávamos interessados ​​em casos de fraude com documentos, bancos de dados e qualquer informação confidencial usando posição oficial.

Estas são violações ao abrigo dos artigos do Código Penal da Federação Russa:

  • 183 (partes 2 e 3) - recebimento e divulgação ilegais de informações que constituam segredo comercial, tributário ou bancário;
  • 272 (partes 1, 2 e 3) - acesso ilegal às informações do computador;
  • 159.6 (parte 3) - fraude no campo da informação informática;
  • 138 (Parte 2) - violação de confidencialidade de correspondência, conversas telefônicas, mensagens postais, telegráficas ou outras.

E aqui gostaria imediatamente de descrever alguns pontos:

  1. ? . . () , . , .
  2. ? 262- , ( ). , , – . sudrf.ru .
  3. Quão completo é o estudo? Complete o máximo possível. Em primeiro lugar, os materiais sobre recursos públicos não são publicados imediatamente. Atraso de cerca de um mês. Em segundo lugar, parte dos casos durante a consideração passa para um status legal diferente. Em terceiro lugar, há recursos. Portanto, em 2019, existem duas coisas que “nasceram” dos últimos anos e aquelas que foram iniciadas, mas que foram movidas para 2020. Finalmente, em quarto lugar. Existem cobranças com vários artigos de uma só vez. Por exemplo, o art. 138 freqüentemente “caminha em dupla” com a arte. 272. Como resultado, atribuímos esses casos como parte do cálculo estatístico aos dois grupos.

Em geral, o objetivo de fingir ser acadêmico não era originalmente pretendido. No entanto, em cada caso, as informações foram verificadas duas vezes e mais de uma vez, descritas da imensa folha da linguagem jurídica no parágrafo do ser humano - em essência. Vai.


A maioria das reclamações foi feita contra violadores do setor de telecomunicações, representando cerca de 70% dos casos. Mas essa situação se deve principalmente às violações em massa de acordo com o artigo 138 (parte 2) - violação do sigilo da correspondência. As operadoras de telecomunicações e suas "filhas" processam os funcionários por acesso ilegal a informações sobre o detalhamento de chamadas.

As circunstâncias dos casos são geralmente muito semelhantes. Os funcionários acessam dados sem necessidade oficial devido ao desejo de vender informações sobre as negociações dos assinantes (o chamado "avanço"). Houve menos casos de "esgotamento da amizade", quando o motivo da ação foi o desejo de ajudar desinteressadamente um amigo. Os funcionários dos salões de comunicação \ operadores de telecomunicações costumam sair para fora - solicitam informações mediante taxa. Por via de regra, muito modesto - não mais do que algumas centenas de rublos.

Frequentemente, os funcionários do setor de telecomunicações são julgados de acordo com o artigo 272 (partes 1, 2, 3, acesso ilegal à informação) . O cenário mais comum é fazer alterações no banco de dados para substituir o cartão SIM. Este estado de coisas não é nada agradável, porque o funcionário faz manipulações com as informações, em regra, com o objetivo de retirar dinheiro da conta do assinante ( como neste caso ) ou remunerar a pedido de terceiros ( como aqui ).

imagem

Distribuição de reivindicações por indústria, artigo 272.º

Existem outros motivos. Em um caso, uma mulher condenada relançou cartões SIM de clientes que conhecia “por vingança e hostilidade”: ela foi às contas deles nas redes sociais, onde postou informações comprometedoras.

Várias sentenças foram impostas a funcionários que, por vingança, excluíram ou estragaram informações nos sites de suas organizações.
Após a demissão, o especialista em TI do tribunal distrital efetuou login no sistema de gerenciamento do site com uma senha diferente, alterou o acesso e excluiu as informações (são relatados 645 eventos de remoção, incluindo seções inteiras). A propósito, o violador encontrou a senha no local de trabalho - foi anotada em um pedaço de papel deixado na sala do servidor. O condenado foi condenado a seis meses de trabalho corretivo com uma dedução de 10% dos ganhos na receita estadual ( referência ao seu caso ).
Em outros artigos, as circunstâncias dos incidentes não são tão uniformes. De acordo com o art. 183 (Parte 2 e Parte 3, divulgação de segredos comerciais, fiscais ou bancários) também frequentemente condenam funcionários de operadoras de telecomunicações e funcionários de salões de comunicação (40%), mas o mesmo valor é levado a tribunal por representantes do setor bancário.

, . ( ) , , , , . , 514 110 . , . , , , «» . , .. : , . , (link para o caso ).

imagem

Distribuição das reivindicações por parte da indústria, o artigo 183
De acordo com o artigo 159.6 considerar casos relacionados à modificação de informações - arquivos, bancos de dados. No ano passado, foram tomadas 79 decisões neste artigo, mas não foram publicados textos suficientes sobre violações de acesso público, por isso é difícil tirar conclusões sobre casos típicos que levaram os empregadores a tribunal.

O caso mais notável, com as informações publicadas, é a história de um funcionário da agência de Ulyanovsk de um grande banco federal. No programa para trabalhar com os cartões de pagamento do cliente, ele várias vezes aumentou o limite em seu próprio cartão e, posteriormente, no cartão do cúmplice. No início, os montantes eram pequenos, depois cresceram até 25,9 milhões de rublos. Notícias

eloquentes sobre textos legais secosna mídia local sobre o "maior incidente cibernético" da região. Jornalistas descreveram o processo contra um cúmplice de um funcionário do banco. Ele ajudou a sacar dinheiro e comprou seis carros caros (Audi, Volvo, Mercedes-Benz), barras de ouro, telefones celulares, jóias e outros produtos. Ele imediatamente vendeu toda essa riqueza para legalizar fundos roubados. Ele foi julgado em janeiro de 2019. Mas estamos interessados ​​no processo contra o oficial. Ele foi pego mais tarde, seu julgamento ocorreu no verão ( link para o caso ). Eles receberam 5 anos e 3 meses em uma colônia penal e uma multa de 250.000 rublos.

As empresas quase não protegem seus interesses


Nas estatísticas de nossos tribunais, também tentamos encontrar casos para nossos clientes que revelam detalhes de fraudes corporativas quando a própria empresa é a vítima. Esses casos são considerados principalmente nos termos do artigo 183. O (divulgação de segredos comerciais). Existem tais alegações, mas são muito mais raras. Aqui estão dois exemplos:
Um funcionário de uma companhia de seguros carregou dados do sistema e transmitiu informações para uma empresa concorrente por correio corporativo. No total, a decisão do tribunal se refere a 45 episódios. O tribunal julgou o caso impondo uma multa de 10 mil rublos. Em uma ação semelhante contra um funcionário de uma empresa de manufatura, a punição foi de 1,5 anos de trabalho correcional com 20% dos ganhos na receita do estado (referência ao texto do primeiro caso e do segundo ).

imagem

Distribuição de reivindicações por setor, dados em 4 artigos

Acontece que as empresas estão muito mais dispostas a recorrer à justiça sob a ameaça de riscos de imagem, quando a “face” pode sofrer seriamente. Eles preferem defender seus interesses na ordem pré-julgamento; simplesmente rejeitam os infratores (60% de acordo com nossa pesquisa ).

Sanções


imagem

Punições nos termos do art. 272 (parte 1, 2, 3), 183 (parte 2, 3), 138 (parte 2)

No que diz respeito às punições, vale ressaltar que, por crimes relacionados à transferência de dados pessoais e detalhes de negociações, eles punem com bastante facilidade. Freqüentemente, as sentenças se referem ao artigo 73 do Código Penal da Federação Russa (condenação condicional). E, embora não exista indicação específica do parágrafo, eles provavelmente se referem ao parágrafo 2: ao impor uma sentença condicional, o tribunal leva em conta a natureza e o grau de perigo público do crime cometido, a identidade do autor, incluindo circunstâncias atenuantes e agravantes. A lógica, aparentemente, é a seguinte: as violações foram cometidas “por estupidez” ou por um pequeno interesse próprio, e a punição é, por assim dizer, educacional por natureza. Mas essas coisas são enganosamente inofensivas. Persdan está interessado em um número ilimitado de intrusos e pode "andar" no domínio público indefinidamente.

imagem

Uso de uma multa como punição no âmbito de um veredicto de culpa nos termos dos artigos.

Mas o que o tribunal trata com muito mais cuidado é a fuga e o acesso não autorizado que estão conectados ou podem levar a uma alteração nas informações pessoais, roubo de dinheiro de contas. Assim, de acordo com o artigo 272, é muito mais frequente que eles designem não uma multa, mas uma sentença suspensa ou restrição da liberdade. Mas a proporcionalidade da multa e da punição levanta questões aqui. Aqui está um exemplo.
Uma das menores multas - 5 mil rublos - foi atribuída pelo tribunal ao oficial da FMS, que, a pedido de um amigo, excluiu as informações do registro criminal de um cartão da base Migrant-1. Ele conseguiu fazer isso em casa, usando acesso remoto ao banco de dados ( caso ).
Nos três artigos restantes, a decisão mais comum é arquivar a causa e aplicar uma multa de 8 a 110 mil rublos (o réu se declara culpado, paga uma multa, não recebe antecedentes criminais). Na maioria das vezes, o tribunal libertou da responsabilidade criminal aqueles que foram julgados nos termos do art. 138, parte 2 - violação da confidencialidade da correspondência. Nos termos deste artigo, uma multa judicial foi concedida em 63% dos casos.

Se o caso foi levado a um veredicto, então aqui a multa acabou sendo a punição mais comum - em 31% dos casos. Os juízes foram punidos um pouco menos com uma sentença suspensa e restrição de liberdade - no valor de 29% dos casos. O termo real é fornecido como uma punição para todos os artigos em consideração. Mas os juízes quase nunca o aplicam. Nos casos examinados, eles receberam sanção apenas uma vez, no caso de retirada de mais de 25 milhões de rublos do banco (a história foi mencionada acima).

Total


As conclusões podem ser feitas diferentes. Por exemplo, essa vida, como sempre, é mais rica do que qualquer ficção: curiosidade, interesse próprio, vingança, estupidez, erro - motivos pelos quais as pessoas invadem as informações de outras pessoas.

Eu e meu colega, com nossas considerações sobre "iBesh". Em todo o ano de 2019, contabilizamos 327 casos nos tribunais nos quatro artigos, em partes indicadas no início do post. Se confiarmos nos dados do estudo anual da empresa, que afirma que apenas 12% das empresas vão a tribunal, o número total de reclamações é obviamente , poderia ser muito maior.

As empresas querem ir a tribunal? Sim e não. Eles vão ao tribunal para apoiar a imagem do bem e do justo, ou quando o hype aumenta e a inação se torna mais cara para si.

More articles:


All Articles