Исследование RTM Group: главная угроза для КИИ России исходит не от хакеров, а от собственных сотрудников

Эксперты RTM Group проанализировали судебную практику по статье 274.1 УК РФ за последние 7 лет (2018–2025). Результаты разрушают стереотип о «внешнем враге»: в половине уголовных дел виновниками становятся штатные сотрудники банков, салонов связи и медучреждений.

Компания RTM Group, специализирующаяся на информационной безопасности и цифровом праве, представляет результаты масштабного исследования судебной практики по преступлениям против критической информационной инфраструктуры (КИИ).

Анализ 325 уголовных дел показал, что механизм защиты КИИ через уголовное преследование в России полностью сформирован. Суды научились квалифицировать действия злоумышленников, а термин «неправомерный доступ» перестал быть абстракцией, превратившись в реальные тюремные сроки.

Ключевые выводы и цифры исследования

Главный вывод исследования: 50% всех угроз исходит от персонала. В 160 рассмотренных делах фигурирует использование служебного положения (ч. 4 ст. 274.1 УК РФ).
Виновниками чаще всего становятся не профессиональные киберпреступники, а рядовые сотрудники:

1. Менеджеры салонов связи и банков (продажа «пробива» данных)
2. Системные администраторы (майнинг на рабочем оборудовании)
3. Медицинский персонал (фальсификация данных в реестрах)

За 7 лет судами рассмотрено 325 дел, вынесено 289 приговоров (75% — обвинительные). Пик активности пришелся на 2024 год (72 приговора). За 10 месяцев 2025 года зафиксирован спад на 25% (54 приговора), что может говорить о насыщении практики или смене фокуса правоохранителей.

Вопреки ожиданиям, Москва не вошла в топ регионов по количеству приговоров.

Лидерами антирейтинга стали:

1. Краснодарский край (54 приговора)
2. Волгоградская область (24 приговора)
3. Республика Дагестан (18 приговоров)

Среди резонансных кейсов 2024–2025 гг. Можно отметить следующие:

1. «Бизнес на похоронах» (Астрахань): IT-специалист Центра медицины катастроф продавал похоронным агентам данные об умерших через удаленный доступ
2. «Майнинг в больнице» (Томская область): Программист больницы установил майнер на сервер, замедлив работу медицинской системы, что было квалифицировано как создание вредоносного ПО

Несмотря на огромные риски для нацбезопасности, финансовые взыскания остаются скромными. Общая сумма исков за 7 лет составила всего 16,5 млн рублей. Максимальный иск по одному делу — 1,37 млн рублей. Однако суды начали признавать вредом сам факт создания угрозы («цифровую аннигиляцию» данных), даже без прямого монетарного ущерба.

Прогноз на 2026 ГОД: новая волна дел

Эксперты RTM Group предупреждают о резком ужесточении регулирования.

1. ЖКХ под ударом. С 1 января 2026 года вступает в силу стандарт ПНСТ 1008-2025. Управляющие компании и водоканалы попадут под те же требования ИБ, что и банки. Любой сбой в IT-системе ЖКХ может стать уголовным делом.
2. Эффект «новой статьи». Вступившая в силу ст. 272.1 УК РФ (незаконный оборот персданных) после обкатки в 2025 году заработает в полную силу. В совокупности со ст. 274.1 УК РФ это может привести к десятикратному росту числа приговоров в ближайшие 3-4 года.

Чтобы компания не стала потерпевшей, а сотрудник — подсудимым, RTM Group рекомендует:

• «Нулевое доверие» к инсайдерам. Помните: 50% угроз исходит от персонала
• Юридическая фиксация. Все правила работы с КИИ должны быть не на словах, а в должностных инструкциях под роспись. Если сотрудник не расписался в том, что «флешки запрещены», привлечь его будет сложно
• Технический контроль. Не полагайтесь на честность. Системы (DLP, SIEM) должны блокировать возможность скачать базу на флешку или запустить майнер
• Разделение доступов. Сотрудник должен иметь доступ только к тем данным, которые нужны для работы прямо сейчас
• Обучение. Персонал должен знать, что использование рабочего компьютера в личных целях на объекте КИИ — это не просто нарушение трудовой дисциплины, а уголовная статья. Проводите регулярные киберучения для контроля выполнения правил