Get best of the week

登陆文摘。信息安全专员

窗台上的春天,隔离区和淬火的幼苗激发了这个职位的有趣名称。但是它的内容很严肃。我在SearchInform工作在此之前,我经常听到有人认为DLP系统和法院是不兼容的概念。喜欢,这个游戏是不值得的。因此,大约在9年前,当时不愿上法庭的主要原因是公司对DLP前阶段的“纸上”准备不足。另一个原因是不确定性(有时是有道理的),即法院不想钻研借助专用软件来保护信息的复杂性。但是,在最近几年中,这一立场越来越少。法院的情况是否已经改变,或者人们是否感到疲倦,都变得很有趣。因此,在领导层的批准下,我和我的同事坐下来调查和分析了2019年法院根据俄罗斯联邦《刑法》中关于操纵计算机信息的四项条款进行审查的案件。结果下切。

我们对使用官方职位的文件,数据库和任何机密信息的欺诈案件感兴趣。

根据俄罗斯联邦《刑法》的规定,这些是违反行为:

  • 183(第2部分和第3部分)-非法接收和披露构成商业,税务或银行秘密的信息;
  • 272(第1、2和3部分)-非法访问计算机信息;
  • 159.6(第3部分)-计算机信息领域的欺诈行为;
  • 138(第2部分)-违反通信,电话交谈,邮政,电报或其他消息的机密性。

在这里,我想立即概述几点:

  1. 为什么是这些文章呢?俄罗斯联邦《刑法》中条款的选择取决于公司的活动。首先,它们是我们感兴趣的。但是,由于研究(现在)已决定每年进行一次,因此我们准备扩大清单。它不可能覆盖所有内容,但是到底是不是在开玩笑。
  2. 木柴从哪里来?根据262-FZ的规定,法院有义务发布案件的案文,但不是全部(请参见此处)。因此,我们能够不受限制地查看所审查案件的数量,有关案件的决定,但所涉及的内容-并非全部。但是,即使有限制,sudrf.ru的统计数据也可以描绘出非常美丽的图画。
  3. 研究的完成程度如何?尽可能完成。首先,关于公共资源的资料没有立即出版。延迟约一个月。其次,审议过程中的部分案件具有不同的法律地位。第三,有吸引力。因此,在2019年,既有过去几年的“出生”,也有开始但到2020年的事情。最后,第四。一次有几篇文章收费。例如,艺术。138个经常与艺术“成对行走”。272.结果,我们将这类案件作为统计计算的一部分归因于两组。

总的来说,假装是学术目的并不是最初的目的。然而,在每种情况下,信息都经过了反复检查,而且不止一次,从本质上从庞大的法律语言表述到人类段落中概述。走。


大多数索赔是针对电信行业的违规者,约占案件的70%。但是,这种情况主要是由于违反了第138条(第2款)规定的大规模违反行为-违反了通信保密性。电信运营商及其“女儿”起诉员工,以非法获取有关呼叫详细信息的信息。

案件的情况通常非常相似。由于希望出售有关订户谈判的信息(所谓的“突破”),员工无需正式需要即可访问数据。当行动的动机是无私地帮助朋友的愿望时,“流失友谊”的情况就更少了。通讯沙龙\电信运营商的员工经常出门-他们索要信息,需付费。通常,非常谦虚-不超过几百卢布。

同样经常根据第272条(第1、2、3部分,非法获取信息)来判断电信行业的员工。最常见的情况是对数据库进行更改以替换SIM卡。这种状况根本令人不愉快,因为员工使得操作与信息,作为一项规则,从用户的账户取钱的目的(如本例)或报酬在第三方(的要求如下)。

图片

第272条,按行业分配债权

还有其他动机。在一个案例中,一名被判有罪的妇女重新释放了她所认识的客户的SIM卡,“出于报仇和敌意”:她在社交网络中访问了他们的帐户,并在其中发布了破坏性信息。

对于报复,删除或破坏其组织网站上的信息的雇员,判处数刑。
被解雇后,地方法院的IT专家使用他人的密码登录到站点管理系统,更改了访问权限,并在那里删除了信息(提到了645个有关删除的事件,包括整个部分)。顺便说一句,违反者在工作场所找到了该密码-密码被记录在服务器机房的一张纸上。该罪犯被判处六个月的矫正劳动,并扣除国家收入的10%(参考他的案子)。
根据其他条款,事件的情况并非如此。根据183条。(第2部分和第3部分,商业,税务或银行机密的披露)也经常谴责电信运营商的员工和通信沙龙的员工(占40%),但银行部门的代表将同样数额的钱告上了法庭。

, . ( ) , , , , . , 514 110 . , . , , , «» . , .. : , . , (链接到案例)。

图片

按行业划分的索赔分布,第183 条(
条款)159.6考虑与信息修改有关的情况-文件,数据库。去年,根据该条款做出了79项决定,但是关于违反公共访问的法规的文本出版不足,因此很难得出将雇主告上法庭的典型案例的结论。

最值得注意的情况是有关一家大型联邦银行的乌里扬诺夫斯克分行一名雇员的故事,该事件的信息已发布。在处理客户支付卡的程序中,他多次提高了自己的卡限额,后来又提高了同案卡的限额。起初,金额很小,然后就增长到2590万卢布。

雄辩的干法文字新闻在当地媒体上有关该地区“最大的网络事件”的报道。记者描述了针对银行雇员同谋的过程。他帮助提款并购买了六辆昂贵的汽车(奥迪,沃尔沃,奔驰),金条,手机和珠宝等商品。他立即变卖了所有这些财富,以使被盗资金合法化。他于2019年1月受到审判。但是我们对反对官员的过程感兴趣。他后来被捕,他的审判于夏天进行(链接到此案)。他们被判处有期徒刑5年3个月,并处以25万卢布的罚款。

商业几乎不能保护其利益


在法院统计数据中,我们还尝试为客户寻找案例,以揭示当公司本身是受害者时公司欺诈的细节。此类案件主要根据第183条(商业秘密的披露)进行审议。有这样的主张,但是它们很少见。这是两个示例:
一家保险公司的雇员从系统上载了数据,并通过公司邮件将信息传输到了一家竞争公司。法院的判决总共涉及45集。法院以一万卢布的罚款驳回了该案。在针对一家制造公司员工的类似诉讼中,惩罚是1.5年的矫正劳动,其收入占国家税收的20%(请参阅第一种情况第二种情况)。

图片

按行业分布的索赔,有关4条文章的数据

事实证明,当“面子”受到严重损害时,公司更愿意在图像风险的威胁下向法院起诉。他们倾向于捍卫自己的审前秩序;最简单的是解雇违规者(根据我们的研究,这一比例为60%)。

罚则


图片

根据艺术处罚。272(第1、2、3部分),183(第2、3部分),138(第2部分)

关于惩罚,值得注意的是,对于与个人数据传输和谈判细节有关的犯罪,它们很容易受到惩罚。通常,判决是指《俄罗斯联邦刑法》第73条(有条件的定罪)。尽管该段没有具体说明,但它们最有可能提及第2段:在施加有条件的判决时,法院考虑了所犯罪行的公共危险的性质和程度,犯罪者的身份,包括减轻和加重情节。显然,逻辑是这样的:侵权行为是出于“愚蠢”或出于很小的个人利益,而惩罚实际上是教育性的。但是这些东西看似无害。 Persdan对无限数量的入侵者感兴趣,并且可以无限期地“进入”公共领域。

图片

在条款第8条的有罪判决的框架内使用罚款作为惩罚,

但法院要更谨慎地对待的是与之相关联的泄密和未经授权的访问,或者可能导致个人信息更改,账户资金被盗。因此,根据第272条的规定,他们通常不指定罚款,而是判缓刑或限制自由。但是,罚款与处罚的比例性在这里引起了疑问。这是一个例子。
最低的罚款之一(5 000卢布)由法院分配给FMS官员,后者在朋友的要求下从Migrant-1基地的一张卡中删除了犯罪记录信息。他能够使用远程访问数据库(案例在家中完成此任务
对于其余三条,最常见的决定是开除此案,并处以8到11万卢布的罚款(被告认罪,支付罚款,没有收到犯罪记录)。多数情况下,法院免除了根据Art受审的人的刑事责任。138,第2部分-违反通信机密性。根据该条款,在63%的案件中判处了司法罚款。

如果对案件进行裁决,那么罚款就成为最常见的惩罚-在31%的案件中。法官被判处缓刑和限制自由的刑罚有所减少-占案件总数的29%。实际条款是对所审议的所有条款的惩罚。但是法官们几乎从来没有运用它。在所审查的案件中,他们只有一次制裁,即从银行提取了25+百万卢布(上文已提及)。


结论可以有所不同。例如,与往常一样,生活比任何小说都富有:好奇心,自私自利,报仇,愚蠢,错误-人们侵害他人信息的动机。

我和我的同事出于“ iBesh”的考虑。在整个2019年,我们在帖子开头指示的全部四篇文章中共计327起法院案件。如果我们依靠该公司的年度调查研究数据,即只有12%的公司上法庭,则总的索偿数显然是,可能会更大。

公司想上法庭吗?是的,没有。他们向法院求助以维护善良和公平的形象,或者当炒作增加而无所事事对自己而言变得更加昂贵时。

More articles:


All Articles