Уголовно-правовые риски в деятельности, связанной с аутсорсингом IT-инфраструктуры предприятия

Аутсорсинг в деятельности современных хозяйствующих субъектов по многим причинам получает предпочтение. Это обусловлено прежде всего тем, что отдельные производственные процессы в организации не являются для нее профильными, имеющийся же персонал либо недостаточно квалифицирован, либо отсутствуют соответствующие специалисты. Аутсорсинг позволяет экономить на страховых взносах и налогах, устраняет многие проблемы, касающиеся организации труда и (или) связанные с возможным увольнением работника, является весьма эффективным инструментом выполнения конкретных возникающих эпизодически производственных задач.

Аутсорсинговые услуги получили свое довольно широкое распространение в сфере IT-услуг. Так, например, в Стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге» СТО БР ИББС-1.4-2018» (принят и введен в действие приказом Банка России от 6 марта 2018года № ОД-568) указано, что на IT-аутсорсинг могут быть переданы следующие процессы:

• •    аутсорсинг офисной печати;

• •    аутсорсинг центров обработки данных;

• •    облачные вычисления;

• •    обслуживание информационных (ав-

• томатизированных) систем организации;

• •    разработка программного обеспечения.

Выполняя конкретные функции в области обеспечения работоспособности и развития информационно-коммуникационной инфраструктуры заказчика, IT-аутсорсер вступает в отношения, негативное развитие которых может завершиться риском уголовного преследования. Как отмечается в современной литературе, «виновным в заражении и выводе из строя компьютерной сети вирусом в результате прочтения на персональном компьютере зараженного компьютерным вирусом письма считается не непосредственный пользователь, открывший это письмо, а служба информационной безопасности, которая неадекватно оценила угрозу информационной безопасности и не обеспечила рабочие места антивирусным решением, а сеть – сетевыми средствами безопасности. Причем при отсутствии умысла у пользователя ответственным в большей степени устанавливается именно на представителях службы информационной безопасности. Такой подход называется риск-ориентированным» 1. Однако в приведенном примере может быть поставлен вопрос об ответственности работника по статье 274 Уголовного кодекса Российской Федерации (далее – УК РФ). Тут надо лишь указать, что эта норма на

Подробнее см. Риски цифровизации: виды, характеристика, уголовно-правовая оценка: монография / отв. ред. Ю.В. Грачева. М.: Проспект, 2022. С. 250.

протяжении многих лет фактически не применяется, что связано с ее неудачной конструкцией.

Уголовно-правовые риски профессиональной деятельности в сфере аутсорсинга IT-инфраструктуры предприятия условно могут быть разделены на следующие три группы.

Первая группа рисков по большому счету не является специфической и вытекает из природы аутсорсинга IT-инфраструктуры как экономической деятельности. Здесь прежде всего следует указать на известные риски, связанные с реальным или заявляемым неисполнением или ненадлежащим исполнением договорных обязательств с последующей квалификацией действий руководителя аутсорсинговой компании как мошенничества. В подобных ситуациях, как известно, возможна подмена гражданско-правовых отношений уголовно-правовыми. Так, Т. и Б. были осуждены по части 4 статьи 159 УК РФ. Суд в своем решении ссылался на то, что созданный на ОАО ЧЧЗ «Молния» «портал» является лишь демонстрационной версией ERP-системы, которую должна была поставить компания, оказывающая услуги. Сторона защиты безуспешно апеллировала к тому, что сам по себе этот довод не может быть положен в основу обвинения хотя бы потому, что следствие не смогло установить, чем эта пробная версия системы отличается от готового программного продукта. Не удалось установить и то, что эта версия является готовым программным продуктом с ограниченными функциями. Прекращение внедрения ERP-системы в ОАО ЧЧЗ «Молния» было вызвано односторонним отказом последней от сотрудничества, прекращением допуска сотрудников ООО «ИТ-Аутсорсинг» в помещения ОАО ЧЧЗ «Молния», а также удержанием использовавшегося компьютерного, офисного и иного оборудования. Длительность выполнения работ, неопределенность сроков окончательного форми- рования на предприятии системы, а также высокая стоимость ее внедрения, нехватка и перерасход требуемых для ее внедрения денежных средств, не могут служить подтверждением умысла на совершение преступления 2.

Также к первой группе можно отнести риск уголовного преследования за пособничество в уклонении от уплаты налогов и иных обязательных платежей. Предоставление услуг, связанных с обеспечением функционирования информационной инфраструктуры организации, имеет многоаспектный характер. Здесь оплата не всегда может иметь строго фиксированный характер. Стороны, например, могут согласовать, что реагирование и (или) восстановление функционирования системы после инцидентов, связанных с безопасностью, не входит в стандартный объем предоставляемых услуг и оплачивается отдельно. Само ценообразование на рынке IT-услуг имеет довольно неопределенный характер. Все это по понятным причинам рождает широкое поле для возможных «налоговых оптимизаций» головной компании – заказчика IT-услуг.

В этой же категории следует выделить риск уголовного преследования в ситуации, когда организация, осуществляющая обслуживание сайта другой компании, принимает решение о самозащите своего права в случае полного либо частичного уклонения заказчика от оплаты оказанных услуг. Если прекращение обслуживания, технической поддержки и т. д., в целом, вопросов не вызывает, то действия, направленные на блокирование сайта заказчика либо уничтожение или модификацию размещенной информации позволяют говорить о признаках конкретного преступного поведения. При определенных обстоятельствах указанные действия могут быть квалифицированы как самоуправство по статье 330 УК РФ.

Вторая группа рисков связана с возможной ответственностью за неправомерное

Апелляционное определение Челябинского областного суда от 22 сентября 2016 года по делу № 10-4491/2016.

собирание и (или) распространение сведений, относящихся к тому или иному виду тайны. В целом, компонентами договора об оказании аутсорсинг-услуг в обязательном порядке должны выступать специальные условия о порядке передачи, обработки и хранения информации ограниченного доступа. Исполнитель, осуществляющий аутсорсинг информационной инфраструктуры организации, можно сказать, априорно будет «соприкасаться» с конфиденциальными данными. И здесь важно оговорить пределы и формы такого «соприкосновения», чтобы изначально снять вопросы ответственности.

В правоприменительной практике ответственность аутсорсеров имеет довольно банальный характер. Так, И. был осужден по статье 183 УК РФ. Согласно решению суда он, приняв обязательство о неразглашении конфиденциальной информации, вошел в корпоративную сеть, сформировал отчеты, содержащие персональные данные клиентов компании (более 1 000), которые направил сначала на свою электронную почту, а затем – на почту третьему лицу, что было обусловлено получением вознаграждения 3.

Здесь следует затронуть такую деликатную проблему, как имеющийся запрос у организаций-заказчиков на осуществление скрытой слежки за действиями своих работников. Иногда это выступает неофициальным условием начала делового сотрудничества (представитель заказчика оговаривает, что может возникнуть необходимость цифрового мониторинга переписки работников, в том числе личной, а иногда и скрытого контроля за переговорами посредством использования специального оборудования и компьютерных программ, предназначенных для негласного получения информации). Независимо от мотивов осуществляемой за работниками слежки подобные действия подпадают под признаки сразу нескольких составов преступлений (статьи 137, 138, 1381 УК РФ).

Третья группа рисков вытекает из деятельности аутсорсеров как субъектов, ответственных за поддержание стабильной и безопасной работы объектов информационно-коммуникационной инфраструктуры компании-заказчика. Здесь можно выделить условно две категории.

Первая категория связана с использованием аутсорсерами вредоносных компьютерных программ для тестирования информационно-коммуникационной инфраструктуры организации-заказчика на защищенность от конкретных киберугроз. Вопрос о невозможности применения статьи 273 УК РФ в случаях использования вредоносных компьютерных программ и компьютерной информации в правомерных целях уже давно обсуждается в отечественной теории уголовного права. Тестирование на проникновение (пентест) является востребованной услугой на современном рынке. Наиболее приемлемым было бы решение о дополнении статьи 273 УК РФ примечанием, закрепляющем правило о том, что «не образует преступления, предусмотренного настоящей статьей, распространение и использование вредоносной компьютерной программы либо вредоносной компьютерной информации для личных нужд (например для тестирования эффективности средств программно-технической защиты собственной информации (пентест), их использование в образовательных или исследовательских целях, а равно во всех случаях, когда вредоносная компьютерная программа или информация не создает угрозу для автоматизированной обработки данных, нормального функционирования информационно-телекоммуникационных сетей и оконечного оборудования)». Вместе с тем до настоящего времени соответствующие законодательные инициативы в парламент не поступали. В этом отношении обнадеживает обсуждение этого вопроса Пленумом Верховного Суда Российской Федерации в рамках подготов- ки постановления о судебной практике по делам о преступлениях, совершаемых с использованием информационно-телекоммуникационных технологий 4.

Второй категорией рисков является вероятность ответственности за нарушение правил эксплуатации объектов информационно-коммуникационной инфраструктуры заказчика в соответствии с положениями статьи 274 и части 3 статьи 274¹ УК РФ.

Ю.В. Трунцевский справедливо отмечает, что исходя из того, что к субъектам критической информационной инфраструктуры (далее – КИИ) относятся российские юридические лица, которым принадлежат такие системы, в случае передачи ими КИИ на баланс аутсорсинговой компании, сделавшая это, например, нефтяная компания под определение субъекта КИИ не подходит, и поэтому ее сотрудники (руководители) не могут быть исполнителями преступления, предусмотренного частью 3 статьи 2741 УК РФ. Вместе с тем если такая организация передала КИИ на аутсорсинг, но у нее остались компьютеры, через которые можно удаленно подключаться к КИИ, то ее следует считать субъектом КИИ, а ее сотрудников – субъектами рассматриваемых преступлений, несмотря на то что непосредственно соответствующей КИИ она не владеет 5.

Гипотеза о возможной ответственности аутсорсеров отчасти подтверждается правовой позицией Пленума Верховного Суда Российской Федерации по делам об ответственности за нарушение требований охраны труда, в соответствии с которой «ответственность по статье 143 УК РФ также могут нести представители организации, оказывающей услуги в области охраны труда, или соответствующие специалисты, привлекаемые работодателем по гражданско-правовому договору в соответствии с частью третьей статьи 217 ТК РФ, если на указанных лиц непосредственно возложены обязанности обеспечивать соблюдение требований охраны труда работниками и иными лицами, участвующими в производственной деятельности работодателя» 6.

В завершение нельзя не сказать о последних изменения отечественного уголовного законодательства, которые, как представляется, повышают уголовно-правовые риски в сфере IT-аутсорсинга. Федеральным законом от 14 июля 2022 года № 260-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации» глава 28 УК РФ была дополнена новой нормой, устанавливающей ответственность за нарушение специальных правил управления техническими средствами, обеспечивающими нормальное функционирование на территории государства сети «Интернет» и сетей связи общего пользования. Изучение паспорта законопроекта не позволяет ознакомиться с обоснованием реализованной законодательной инициативы – в первоначальной редакции выделение статьи 2742 УК РФ не планировалось. Соответствующие дополнения появились только ко второму чтению законопроекта в парламенте 7. Вместе с тем причины, побудившие к соответствующему решению, являются достаточно очевидными. Обеспечение информационной безопасности государства в значительной степени зависит от деятельности самих операторов связи. Несоблюдение требуемых стандартов информационной защиты в том числе в части установки и эксплуатации технических средств противодействия киберугрозам объективно представляет угрозу общественной безопасности, что требует соответствующей правовой реакции.

В статье 2742 УК РФ получили свое определение два самостоятельных преступных деяния. В части первой статьи 2742 УК РФ установлена ответственность за нарушение порядка установки, эксплуатации и модернизации в сети связи технических средств противодействия угрозам устойчивости функционирования сети «Интернет» и сети связи общего пользования либо несоблюдение технических условий их установки или требований при использовании. Диспозиция является бланкетной и отсылает к постановлению Правительства Российской Федерации от 12 февраля 2020 года № 126 «Об установке, эксплуатации и о модернизации в сети связи оператора связи технических средств противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования». Объективная сторона такого преступления может выражаться:

• •    в целенаправленном воспрепятствовании дистанционному управлению радиочастотной службой техническими средствами противодействия угрозам;

• •    в нарушении требований, содержащихся в эксплуатационной документации;

• •    в отключении технических средств противодействия угрозам от электропитания;

• •    в блокировании доступа к соответствующему оборудованию представителям радиочастотной службы и т. д.

В части второй статьи 2742 УК РФ объективная сторона заключается в нарушении требований к пропуску трафика через технические средства противодействия угрозам. Соответствующие требования определены приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 26 января 2022 года № 44 «Об утверждении Требований к порядку пропуска трафика в сетях передачи данных». В соответствии с постановлением Правительства Российской Федерации от 12 февраля 2020 года № 127 «Об утверждении Правил централизованного управления сетью связи общего пользования» (далее – Постановление № 127) оператор связи имеет право не направлять трафик через технические средства противодействия угрозам в следующих случаях:

• 1)    нарушение функционирования технического средства противодействия угрозам, при котором прекращается пропуск трафика через техническое средство, при условии соблюдения требований к эксплуатации технических средств противодействия угрозам;

• 2)    нарушение функционирования технического средства противодействия угрозам, при котором параметры пропуска трафика не соответствуют параметрам, указанным в проектной документации на установку и функционирование технических средств противодействия угрозам, при условии соблюдения требований к эксплуатации технических средств противодействия угрозам;

• 3)    выявление информации или информационных ресурсов, доступ к которым не подлежит ограничению в соответствии с законодательством Российской Федерации, но доступ к которым ограничивается.

Соответственно, направление трафика помимо технических средств противодействия угрозам в иных случаях, не предусмотренных Постановлением № 127, может быть квалифицировано как нарушение требований к пропуску трафика по смыслу части 2 статьи 2742 УК РФ.

Оба состава преступления сконструированы с использованием административной преюдиции и предполагают повторность нарушения правил в период, когда лицо считается подвергнутым административному наказанию за ранее совершенное аналогичное деяние (часть 2 статьи 13.42 и часть 2 статьи 13.421 Кодекса Российской Федерации об административных правонарушениях).

Субъект обоих преступлений специальный – лицо, постоянно, временно либо по специальному полномочию выполняющее функции в коммерческой или иной организации, а равно индивидуальный предприниматель, подвергнутые административному наказанию за соответствующие деяния, предусмотренные Кодексом об административных правонарушениях Российской Федерации. Полагаю, что при определенных обстоятельствах, когда соответствующие процессы, связанные с установкой, эксплуатацией и модернизацией в сети связи технических средств противодействия угрозам устойчивости функционирования сети «Интернет», будут переданы сторонним исполнителям, также ответственность по статье 2742 УК РФ могут нести аутсорсеры.

из справочной правовой системы «Консуль-тантПлюс».

из справочной правовой системы «Консуль-тантПлюс».

***

УВАЖАЕМЫЕ КОЛЛЕГИ!

Рады представить Вам новый сборник «СПРАВОЧНИК ОЦЕНЩИКА НЕДВИЖИМОСТИ-2023

ОФИСНАЯ НЕДВИЖИМОСТЬ И СХОДНЫЕ ТИПЫ ОБЪЕКТОВ. КОРРЕКТИРУЮЩИЕ КОЭФФИЦИЕНТЫ И СКИДКИ ДЛЯ СРАВНИТЕЛЬНОГО ПОДХОДА» под редакцией Л.А. Лейфера.

Данный справочник содержит всю необходимую при выполнении работ по оценке офисной недвижимости актуальную информацию, в том числе:

• •    корректирующие и локальные коэффициенты для цен и арендных ставок офисной недвижимости различных классов;

• •    территориальные коэффициенты на различия в стоимости недвижимости, расположенной в пределах региона и в пределах города;

• •    зависимости стоимости офисной недвижимости различных классов от характери

стик населенного пункта (численности населения, среднего уровня заработной платы, объема жилищного строительства);

• •    зависимости стоимости офисной недвижимости различных классов до точек интереса (метро, остановки общественного транспорта);

• •    скидки на торг по данным опроса оценочного сообщества и сотрудников банковских структур.

Заказать Справочник можно на сайте в разделе «Заказать»