Эксперты «СёрчИнформ» проанализировали судебные акты, вынесенные в 2024-2025 годах по итогам рассмотрения преступлений, совершенных работниками организаций и связанных с ИБ-нарушениями. В рамках исследования изучено 100 дел по статьям: 137, 138, 159, 159.6, 183, 272, 274.1 УК РФ, в которых фигурировали манипуляции с конфиденциальной информацией и утечки данных, допущенные сотрудниками, в т.ч. бывшими, различных организаций.*

В зависимости от обстоятельств, виновные в рамках одного дела несли ответственность и по другим статьям УК РФ. Например, за получение взятки, превышение должностных полномочий, вымогательство.

«Мы видим, что в большинстве рассмотренных уголовных дел фигурирует отягчающее обстоятельство. Как правило, это или служебное положение, или корыстный мотив. По статье 272 УК РФ большее число преступлений совершается сотрудниками компаний, а не сторонними злоумышленниками. Таким образом, результативной мерой по борьбе с ИКТ-преступностью становится усиление внутренней безопасности организаций», – комментирует Дмитрий Вощуков, GR-специалист «СёрчИнформ».

Большинство изученных инцидентов связаны с неправомерным доступом к компьютерной информации. Среди основных сценариев нарушений – «пробив» (продажа данных абонентов или детализация их звонков) и модификация клиентских данных (внесение ложной информации о клиентах в ИС, создание ложных аккаунтов).

В большинстве случаев (87%) к ответственности привлекались рядовые сотрудники. Намного реже в уголовных делах встречались нарушения со стороны линейных руководителей (9%), ИТ-специалистов (2%) и бывших работников (2%).

Больше половины (55%) ИБ-нарушений происходили в организациях сферы связи и телекоммуникаций. Нарушения в телеком-компаниях носят массовый характер, потому что на абонентские данные есть высокий спрос, а злоумышленникам проще их получить и монетизировать.

В 86% проанализированных судебных дел были вынесены обвинительные приговоры, в 14% случаев дела были прекращены. Почти в половине (45%) всех случаев нарушитель получал штраф.

«Мы видим, что в большей части случаев действия инсайдеров наказываются штрафом или условным лишением свободы. Такие меры удерживают законопослушных сотрудников, но нарушителей, действующих умышленно, остановят далеко не всегда. Поэтому власти ужесточают наказания для виновников инцидентов с защищаемой информацией. Например, с 2024 года действует статья 272.1 УК РФ о неправомерном получении, передаче, сборе и хранении персональных данных. Срок лишения свободы по ней варьируется от 4 до 10 лет, а сумма штрафа — от 0,3 до 3 млн рублей. На сегодня возбуждены несколько таких дел. Когда по ним будут вынесены приговоры, эту статью будут применять чаще. И наказания для виновников «пробива» станут намного суровее», – комментирует Дмитрий Вощуков, GR-специалист «СёрчИнформ».

* - в рамках одного дело нарушение может быть квалифицировано по нескольким статьям.