Вред как криминообразующий признак в составах преступлений, предусмотренных частями 2 и 3 статьи 274.1 УК РФ

Переход к информационному обществу в России в рамках реализации утвержденной Указом Президента Российской Федерации от 9 мая 2017 г. №203 Стратегии развития информационного общества в Российской Федерации на 2017–2030 годы предполагает активное использование объектов критической информационной инфраструктуры Российской Федерации (далее – КИИ РФ) в ключевых отраслях экономики, сфере государственного управления, государственной политики и обороны, здравоохранения и т.д.1 Вместе с тем большая часть информационных и коммуникационных технологий, внедряемых в объекты КИИ РФ, основана на зарубежных разработках, которые уязвимы перед ком- пьютерными атаками. Таким образом, существует корреляция между стабильностью развития всех сфер информационного общества России и безопасностью функционирования объектов КИИ РФ. Именно по этой причине обеспечение устойчивого и бесперебойного функционирования критической инфраструктуры РФ в мирное время, в период непосредственной угрозы агрессии и в военное время в доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента РФ от 5 декабря 2016 г. №6462, определено как национальный интерес в информационной сфере. Как справедливо отмечает М. А. Ефремова, «недооценка значимости уголовно-правовых средств в механизме правового обеспечения информационной безопасности ставит под угрозу интересы личности, общества и государства в информационной сфере»3. Особо актуальным указанный национальный интерес становится в связи с произошедшими последними событиями в мире. Следовательно, одна из важных задач государства – охрана критической информационной инфраструктуры РФ, в том числе и мерами уголовно-правового характера.

С этой целью Федеральным законом от 26 июля 2017 г. №194-ФЗ была введена уголовная ответственность за неправомерное воздействие на критическую информационную инфраструктуру РФ (ст. 274.1 УК РФ)4. Как указывается в пояснительной записке к проекту Федерального закона «О внесении изменений в статью 274.1 Уголовного кодекса Российской Федерации», такая криминализация деяния была обусловлена необходимостью обеспечения защиты общественных отношений, связанных с безопасностью КИИ РФ, поскольку составы преступлений, предусмотренные статьями 272–274 УК РФ, не в полной мере справлялись с этой задачей. Справедливости ради заметим, что за несколько лет существования статьи 274.1 в УК РФ огромного количества приговоров о привлечении лиц к уголовной ответственности за непра- вомерное воздействие на КИИ РФ в стране не появилось и практика применения указанной нормы не сложилась. Так, по данным Судебного департамента при Верховном Суде РФ, за 2018–2021 годы было привлечено к уголовной ответственности по статье 274.1 УК РФ 27 человек: в 2018 – 05, в 2019 – 46, в 2020 – 87, в 2021 – 158. Вместе с тем, только по данным Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, специального структурного подразделения Банка России, атаки на инфраструктуру кредитно-финансовой сферы РФ совершаются ежегодно значительно чаще. Например, в 2020 году отчитывающиеся операторы направили в Банк России информацию о 581 инциденте, связанном с несанкционированным доступом к их информационной инфраструктуре, на общую сумму ущерба порядка 46 млн руб.9 В 2019 году насчитывалось 973 таких случая на общую сумму 103,8 млн руб.10 Кроме того, по данным INTERFAX.RU, в 2021 году 92 % кибератак пришлось на объекты критической ин-фраструктуры11. Указанные обстоятельства свидетельствуют о несовершенстве дефиниции ст. 274.1 УК РФ и о необходимости выявления, с последующим устранением, квалификационных проблем, возникающих при привлечении лиц к уголовной ответственности за неправомерное воздействие на КИИ РФ.

Сложности в науке и правоприменительной практике вызывает установление криминообразующего признака вреда в частях 2 и 3 статьи 274.1 УК РФ, поскольку в законе легальное поня- тие вреда, причиненного КИИ РФ, не закреплено, а оценка содержания данного конструктивного признака состава, предусмотренного статьей 274.1 УК РФ, без специальных познаний технического процесса взаимодействия объектов КИИ РФ затруднительна. Очень точно по этому поводу пишет Э. В. Густова: расширение «содержания употребляемых законодателем терминов и использование слов, не имеющих точного определения и однозначной интерпретации, неизбежно ведут либо к увеличению круга деяний, объявляемых преступными, либо к расширению круга лиц, привлекаемых к уголовной ответственности»12.

Как и А. И. Рарог, полагая, что количественные оценочные понятия, характеризующие меру определенного качества либо общественно опасных последствий, являются необходимыми и полезными, если они наполнены конкретным содержанием и толкуются законодателем однозначно13, считаем важным уяснить смысловое содержание вреда, причиненного КИИ РФ. Тем более и Верховный Суд РФ прямо обязывает нижестоящие суды мотивировать, какие обстоятельства позволили сделать вывод о наличии в содеянном оценочного признака14, в данном случае – в чем выразился вред, причиненный КИИ РФ.

К сожалению, в литературе не сложилось единообразного толкования того, что следует понимать под вредом, причиненным КИИ РФ. Так, Ю. В. Трунцевский пишет, что вред в статье 274.1 УК РФ «может носить либо материальный (физический), либо организационный (технологически-эксплуатационный) характер, выразившийся в нарушении и (или) прекращении функционирования объекта КИИ, сети электросвязи, которая используется при организации взаимодействия таких объектов, либо в нарушении безопасности информации, обрабатываемой таким объектом, в том числе если это произошло посредством компьютерной атаки (компьютерный инцидент)»15. В свою очередь Е. А. Русскевич определяет вред как уничтожение, блокирование, модификацию, копирование информации, содержащейся в критической информационной инфраструктуре, нейтрализацию средств защиты указанной информации или выведение из строя аппаратных и программных средств, обеспечивающих функционирование критической информационной инфраструктуры16. Однако и эти достаточно подробные иллюстративные определения не дают исчерпывающего представления о содержании вреда как криминообразующего признака преступления, предусмотренного частями 2 и 3 статьи 274.1 УК РФ.

Думается, что для исследования сущности вреда необходимо решить вопрос о соотношении понятий «вред» и «ущерб». В науке есть ученые, которые употребляют вред и ущерб как равнозначные понятия17. Отождествление вреда и ущерба можно найти и в нескольких нормативно-правовых актах18.

Вместе с тем, как справедливо замечено В. А. Авдеевым, на «доктринальном и законодательном уровне существует проблема терминологической унификации характеристики результатов преступной деятельности в отношении общественных отношений, объектов и предмета посягательств, подлежащих уголовно- правовой охране»19. В связи с этим в литературе есть достаточно обоснованное толкование термина «вред» как более широкое по отношению к термину «ущерб»20.

Соглашаясь с мнением вышеуказанных исследователей, считаем, что, во-первых, в неюридическом смысле вред не исчерпывается понятием ущерба (потеря, убыток)21. Например, С. И. Ожегов и Н. Ю. Шведова вред определяют как ущерб, порчу22. Аналогичным образом разъясняется значение слова и в других слова-рях23. В свою очередь «порча» (портить) значит приводить в негодность, делать плохим24. Следовательно, понятие вреда более широкое, чем понятие ущерба, и включает не только уменьшение чего-то в натуре, но и придание какому-то объекту свойств, умаляющих его полезность. Представляется, что именно по этой причине вред может использоваться с любыми категориями, включая «здоровье», «отношения», «человек», а ущерб применяется, как правило, только к «имуществу» либо имущественным отношениям. Таким образом, соглашаясь с С. В. Землюковым, считаем, что понятия «ущерб», «урон», «унижение» и т.д. характеризуют вред отдельных видов преступлений25.

Во-вторых, в уголовно-правовой литературе содержится общее понятие преступного вреда, не связанное исключительно с ущербом. Так, И. А. Анисимова определяет преступный вред как негативное изменение охраняемого уголовным законом общественного отношения, виновно вызванное преступным деянием (действием или бездействием) субъекта и причинно связанное с ним26. Примерно также разъясняет смысл вреда и Верховный Суд РФ, рассматривая его как всякое умаление охраняемого законом материального или нематериального блага, любые неблагоприятные изменения в охраняемом законом благе, которое может быть как имущественным, так и неимущественным (нематери-альным)27. Верховный Суд РФ указывает также на возможность выражения вреда через материальные и нематериальные последствия и в других постановлениях28. Отметим, что ущерб и имущественный вред являются равнозначными понятиями в уголовном праве29. Следовательно, вред – некая универсальная категория, включающая в себя и ущерб (имущественный вред), и негативное изменение каких-либо отношений.

В-третьих, «вред» как криминообразующий признак преступления указан в составах, предусмотренных статьями 140, 163, 179, 201, 2011, 202, 234, 274.1, 2861, 303, 330, 332, 340, 341, 342, 343 УК РФ, в то время как «ущерб» указывается законодателем чаще в составах, которые связаны с посягательствами на имущественные отношения (например, ст. 146, 147, 158–165 УК РФ). Следовательно, в уголовном законе в основном ущерб отождествляется с уменьшением имущества собственника и законного владельца, хотя есть новые составы преступлений, где законодатель категорию ущерба толкует достаточно широко. Например, в примечании к статье 2071 УК РФ ущерб употребляется в отношении здоровья людей.

Наконец, исходя из систематического толкования30 главы 28 УК РФ, законодатель термины «ущерб» и «вред» не отождествляет. В статье 274.1 УК РФ вред, причиненный КИИ РФ, не конкрети- зирован исключительно как имущественный ущерб, следовательно, такой вред может носить и иной характер.

Обобщая все вышесказанное, можно сделать вывод, что под вредом, причиненным КИИ РФ, следует понимать любые неблагоприятные изменения в охраняемой законом критической информационной инфраструктуре Российской Федерации, которые могут выражаться как в материальном, так и нематериальном плане, виновно вызванные неправомерным воздействием субъекта и причинно связанные с ним. При этом само по себе нарушение правил эксплуатации объектов КИИ РФ еще не может свидетельствовать о наступлении вреда либо об угрозе наступления такого вреда. Необходимо мотивировать, какие обстоятельства дела свидетельствуют о создании угрозы причинения вреда КИИ РФ.

Так, интересным представляется уголовное дело, рассмотренное Кировским районным судом г. Перми, касающееся неправомерного воздействия на КИИ РФ. А., работая в должности инженера по эксплуатации и учету средств информационных технологий на предприятии, связанном с военным производством, по просьбе сотрудницы М. скачал программу MS Office с программой-активатором, которая предназначена для преодоления защиты продуктов компании Microsoft, из неустановленного интернет-ресурса на закрепленный за ним компьютер, имеющий доступ к информационно-телекоммуникационной сети Интернет, в целях использования М. программы MS Office для работы дома в период карантина. Программу-активатор он открыл, используя рабочий компьютер, запустил ее в целях проверки работоспособности. Впоследствии эту программу он сохранил на флеш-накопителе, который передал М. Одновременно с данной программой на компьютер была установлена автоматически другая программа, передающая информацию на определенный IP-адрес, в результате чего происходила утечка конфиденциальной информации. А. было предъявлено обвинение по части 3 статьи 273 и части 4 статьи 274.1 УК РФ. Кировский районный суд постановил оправдательный приговор по части 4 статьи 274.1 УК РФ в связи с недоказанностью вреда КИИ РФ31.

В мотивировочной части Кировский районный суд г. Перми указал, что факт передачи не установленной по содержанию и ха- рактеру информации сам по себе не свидетельствует о причинении существенного ущерба безопасности информации, а также о причинении какого-либо иного значимого ущерба интересам потерпевшего. Обвинением не был доказан характер информации, не установлено лицо, получающее конфиденциальную информацию, а также отказ американских производителей от сделок с потерпевшим по поставке лицензионного программного обеспечения. Апелляционным определением Пермского краевого суда от 2 сентября 2021 г. по делу №22-5448 приговор оставлен без изме-нения32.

При обращении к судебной практике было обнаружено, что суды достаточно произвольно определяют обстоятельства, указывающие на причинение вреда КИИ РФ. Справедливости ради необходимо отметить, что по многим уголовным делам, возбужденным по статье 274.1 УК РФ, приговоры постанавливались без проведения судебного разбирательства, так как виновные соглашались с предъявленным обвинением, в связи с чем есть вероятность того, что квалификация и установление обязательных признаков состава, включая причиненный КИИ РФ вред, не производились судами надлежащим образом.

Так, Первомайский районный суд г. Владивостока посчитал, что вред КИИ РФ выразился в причинении имущественного ущерба потерпевшему в размере 655 034,52 руб.33

В другом деле Ленинский районный суд г. Владивостока Приморского края РФ посчитал, что вред, причиненный КИИ РФ, проявился в копировании привилегированной информации особой ценности, принадлежащей и охраняемой субъектом КИИ РФ (потерпевшим), утечка которой нанесла вред деловой репутации данного оператора связи, выразившийся в разглашении конфиденциальных сведений о местах расположения, адресах и иных контактных данных физических и юридических лиц различных форм собственности, включая правоохранительные органы и военизированные ведомства Приморского края34.

Интересным представляется аргументация Абаканского городского суда Республики Хакасии о привлечении лица к уголовной ответственности по статье 274.1 УК РФ. Так, суд посчитал, что распространение персональных данных абонентов субъекта КИИ РФ (потерпевшего) повлекло причинение вреда КИИ РФ в виде нарушения безопасности информации, принадлежащей и охраняемой потерпевшим, а также дискредитации его деловой репутации, выразившейся в разглашении конфиденциальных сведений об абонентских соединениях физических лиц – пользователей субъекта КИИ РФ 35.

Думается все же, что вред деловой репутации, пусть даже и субъекта КИИ РФ, не может обладать таким уровнем ценности для общества, чтобы охранять ее уголовно-правовыми средствами, тем более что родовым объектом преступления, предусмотренного статьей 274.1 УК РФ, является общественная безопасность. Для защиты деловой репутации юридического лица, в том числе являющегося субъектом КИИ РФ, достаточно гражданско-правовых мер защиты. А вот получение доступа к базе данных абонентов, безусловно, можно оценить как вред, наступивший в результате неправомерного воздействия на КИИ РФ, поскольку утечка (копирование) данных пользователей, абонентов, клиентов умаляет состояние защищенности информационных систем, содержащих персональные данные абонентов субъекта КИИ РФ. Указанные данные часто используют в преступных целях, например, при совершении телефонного мошенничества.

Из этого можно сделать вывод, что вред должен быть причинен именно КИИ, под которой понимаются объекты КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов. При этом объектами КИИ являются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ (ст. 2

ФЗ «О безопасности критической информационной инфраструктуре Российской Федерации»). Иными словами, вред в части 2 и части 3 статьи 274.1 УК РФ должен быть причинен информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления субъектов КИИ РФ, а также сетям электросвязи, используемым для организации взаимодействия таких объектов. К сожалению, приведенная выше судебная практика свидетельствует о том, что связь между объектами КИИ, сетями электросвязи, используемыми для организации взаимодействия таких объектов, и вредом не устанавливается.

Представляется, что при доказывании вреда как криминообразующего признака части 2 и части 3 статьи 274.1 УК РФ необходимо обратить внимание на следующие обстоятельства.

Во-первых, справедливости ради отметим, что любое деяние, запрещенное уголовным законом, так или иначе обладает потенциальной вредностью, поскольку общественная опасность и вред – взаимно обусловливающие явления36. При этом наличие общественной опасности не предполагает обязательного вреда в виде наступления каких-либо объективно выраженных последствий учиненного деяния37. Но прямое закрепление законодателем в некоторых составах преступления (например, ст. 140, 163, 179, 201, 2011, 202, 234, 274.1, 2861, 303, 330, 332, 340, 341, 342, 343 УК РФ) необходимости наступления вреда (как преступных последствий от совершенного преступления) позволяет прийти к выводу, что эти деяния будут преступными только лишь при наступивших негативных изменениях общественных отношений. Самой по себе угрозы нарушения общественных отношений КИИ РФ, взятых под охрану уголовного закона, в данном случае недостаточно (за исключением покушения на неправомерное воздействие КИИ РФ). В связи с этим не любое посягательство на критическую информационную инфраструктуру попадает под признаки преступления, предусмотренного статьей 274.1 УК РФ.

Представляется возможным допускать признание деяния, содержащего в себе признаки части 2 или части 3 статьи 274.1 УК РФ, но не представляющего общественной опасности, малозначительным, например, виновное лицо, являясь системным администратором объектов КИИ РФ, вносит недостоверную информацию о каком-то факте (время прихода или ухода сотрудника с рабочего места, сведения о вакцинации38 и т.д.). Думается, что в этом случае деяние может попадать под признаки части 2 статьи 14 УК РФ либо при наличии к тому оснований под признаки статьи 272 или 274 УК РФ.

По этой причине важным представляется учет мнения потерпевшего (владельца объекта КИИ РФ), а также специалистов, экспертов в области ИТ-технологий, поскольку в большинстве случаев они способны адекватно оценить степень и характер наступивших негативных изменений, касающихся КИИ РФ, либо реальности и действительности угрозы причинения вреда КИИ РФ.

Во-вторых, о преступном вреде, предусмотренном частями 2 и 3 статьи 274.1 УК РФ, может свидетельствовать его неустранимый характер. Так, уничтожения отнесенной к КИИ автоматизированной программы управления достаточно для признания данных последствий вредом, причиненным КИИ РФ.

В-третьих, в зависимости от характера и степени общественной опасности преступных последствий вред, наступивший от неправомерного воздействия на КИИ РФ, может относиться к особому квалифицирующему признаку, предусмотренному частью 5 статьи 274.1 УК РФ.

Отметим, что тяжкие последствия употребляются законодателем не только в части 5 статьи 274.1 УК РФ. В частности, законодатель употребляет их и в других составах преступлений (а именно в ч. 3 ст. 126, ч. 3 ст. 127, ч. 3 ст. 127.1, ч. 3 ст. 127.2, ч. 2 ст. 128, ч. 3 ст. 131, ч. 3 ст. 132, ч. 3 ст. 137, ч. 3 ст. 145.1, ч. 2 ст. 167, ч. 4 ст. 183, ч. 2 ст. 201, ч. 2 ст. 201.1, ч. 2 ст. 203, ч. 1 и ч. 2 ст. 205, ч. 3 ст. 206, ч. 4 ст. 207, ч. 2 ст. 207.2, ч. 3 ст. 207.3, ч. 3 ст. 211, ч. 1 ст. 215.1, ч. 5 ст. 215.3, ч. 2 ст. 220, ч. 1 ст. 224, ч. 1 и ч. 2 ст. 225, ч. 3 ст. 227, ч. 2 ст. 228.2, ч. 3 ст. 230, ч. 3 ст. 230.1, ч. 2 ст. 230.2, ч. 2 ст. 237, ст. 246, ч. 1 ст. 248, ч. 1 и ч. 2 ст. 249, ч. 2 ст. 249, ст. 257, ч. 4 ст. 274, ч. 3 ст. 273, ч. 2 ст. 274, ч. 2 ст. 281, ч. 2 ст. 283.1, ст. 284, ч. 3 ст. 285, ч. 3 ст. 285.3, ч. 2 ст. 285.4, ч. 3 ст. 286, ч. 2 ст. 286.1, ч. 3 ст. 287, ч. 2 ст. 299, ч. 3 ст. 301, ч. 3 ст. 303, ч. 2 ст. 305, ч. 2 ст. 311, ч. 2 ст. 320, ч. 2 ст. 323, ч. 2, ч. 2.2 и ч. 3 ст. 332, ч. 2 ст. 333, ч. 2 ст. 334, ч. 3 ст. 335, ч. 2 и ч. 3 ст. 340, ч. 2 и ч. 3 ст. 341, ч. 2 и ч. 3 ст. 342, ч. 2 ст. 343, ч. 1 и ч. 2 ст. 344, ч. 2 ст. 346, ч. 1 ст. 347, ч. 1 ст. 349, ст. 351, ст. 352 УК РФ). Исходя из анализа уголовного закона и разъяснений постановлений Пленума Верховного суда РФ39, можно сделать вывод, что смерть человека, причинение тяжкого вреда здоровью, тяжелое заболевание потерпевшего, самоубийство и его попытка потерпевшим, крупный ущерб (свыше одного миллиона рублей), длительное нарушение деятельности предприятий, учреждений, ухудшение качества окружающей среды и ее компонентов, устранение которого требует длительного времени и больших финансовых затрат, массовая гибель (заболевание) объектов животного мира, крупные аварии, длительный простой транспорта или производственного процесса относятся к тяжким последствиям. Следовательно, в случаях наступления указанного вреда из-за неправомерного воздействия на объекты КИИ РФ действия лица могут быть квалифицированы по части 5 статьи 274.1 УК РФ.

Примерно такие же тяжкие последствия выделяет и Е. А. Рус-скевич: «причинение смерти или тяжкого вреда здоровью человека, причинение средней тяжести вреда здоровью двум или более лицам, массовое причинение легкого вреда здоровью людей, наступление экологических катастроф, транспортных или производственных аварий, повлекших длительную остановку транспорта или производственного процесса, дезорганизацию работы конкретного предприятия, причинение особо крупного ущерба»40.

Соглашаясь в целом с указанными тезисами, отметим лишь, что о тяжких последствиях может свидетельствовать и вред, причиненный категорированным объектам КИИ РФ в соответствии с

ФЗ «О безопасности критической инфраструктуры РФ»41. Категорирование осуществляется исходя из социальной, политической, экономической, экологической значимости и ценности объекта КИИ для обеспечения обороны страны, безопасности государства и правопорядка. В том случае если объект КИИ не соответствует критериям значимости, показателям этих критериев и их значениям, ему не присваивается ни одна из таких категорий.

Справедливости ради стоит отметить, что согласно пункту 4 статьи 7 ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» субъекты КИИ самостоятельно присваивают одну из трех категорий значимости, руководствуясь теми законодательными ориентирами, которые установлены Постановлением Правительства РФ «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»42. Зачастую субъекты не заинтересованы в присвоении категорий объектам КИИ РФ, поскольку с присвоением категорий объектов КИИ РФ на субъектов КИИ РФ возлагаются дополнительные обязанности по обеспечению их безопасности, следовательно, уведомления о категорировании объектов КИИ РФ в Федеральную службу по техническому и экспортному контролю (далее – ФСТЭК) не направляются. Поэтому при рассмотрении уголовных дел может возникнуть ситуация, когда объект соответствует признакам категорированных объектов КИИ РФ, но фактически субъект категорию ему не присвоил. На наш взгляд, здесь необходимо придерживаться правила, что отсутствие уведомления ФСТЭК о присвоении категории объектам КИИ РФ не лишает возможности отнести их к таковым судом самостоятельно.

В заключение отметим, что, во-первых, под вредом, причиненным КИИ РФ, следует понимать любые неблагоприятные из- менения в охраняемой законом критической информационной инфраструктуре Российской Федерации, которые могут выражаться как в материальном, так и нематериальном плане, виновно вызванные неправомерным воздействием субъекта и причинно связанные с ним. При этом само по себе нарушение правил эксплуатации объектов КИИ РФ еще не может свидетельствовать о наступлении вреда либо об угрозе наступления такого вреда. Необходимо мотивировать, какие обстоятельства дела свидетельствуют о создании угрозы причинения вреда КИИ РФ.

Во-вторых, смерть человека, причинение тяжкого вреда здоровью, тяжелое заболевание человека, самоубийство и попытка его совершения потерпевшим, крупный ущерб (свыше одного миллиона рублей), длительное нарушение деятельности предприятий, учреждений, ухудшение качества окружающей среды и ее компонентов, устранение которого требует длительного времени и больших финансовых затрат, массовая гибель (заболевание) объектов животного мира, крупные аварии, длительный простой транспорта или производственного процесса являются тяжкими последствиями неправомерного воздействия на объекты КИИ РФ, в связи с чем действия лица должны квалифицироваться по части 5 статьи 274 УК РФ.