Враг внутри системы: исследование судебной практики по преступлениям против КИИ
Выводы
-
- За период с 2018 по октябрь 2025 года в России сформировалась устойчивая практика применения одной из самых жестких «киберстатей» — 274.1 УК РФ.
Масштаб: судами рассмотрено 325 уголовных дел. По 289 делам вынесены приговоры, из них 243 (74,77%) — обвинительные;
Динамика: количество приговоров росло ежегодно, достигнув пика в 2024 году
(72 приговора). В 2025 году наметился спад — 54 приговора за 10 месяцев (снижение на 25%).
Ключевой вывод: главная угроза для Критической информационной инфраструктуры (КИИ) исходит не от внешних хакеров, а от инсайдеров. В 160 делах (почти 50% от всех рассмотренных) фигурирует квалифицирующий признак «использование служебного положения». Это сотрудники, которые имели легальный доступ к системам, но использовали его во вред. - Чаще всего инциденты в ИБ КИИ связаны с действиями не внешних лиц, а сотрудников организаций. Судебная практика показывает, что в качестве подсудимых по статье 274.1 УК РФ чаще всего проходят рядовые сотрудники банков, операторов связи, медицинских учреждений и почты.
Мотивация преступников:- Корысть и продажа данных. Сотрудники салонов связи и банков «пробивают» детализацию звонков или персональные данные клиентов за деньги;
- «Помощь другу». Оформление кредитов или карт на третьих лиц без их ведома, передача паролей коллегам;
- Личное обогащение (майнинг). Использование мощностей предприятия для добычи криптовалюты;
- Бонусы KPI. Фиктивная регистрация SIM-карт для выполнения плана продаж.
- Самые резонансные кейсы (2024–2025 гг.):
- «Сговор с похоронными агентами» (Астрахань, 2025): программист Центра медицины катастроф внедрил программу для удаленного доступа и продавал данные об умерших похоронным агентам.
- «Майнинг в больнице» (Томская область, 2025): программист ФМБА установил майнер на сервер медучреждения, замедлив работу медицинской информсистемы. Это квалифицировали как создание вредоносного ПО и нарушение правил эксплуатации.
- «Ковидные сертификаты» (Кемерово): внесение ложных данных о вакцинации в государственные реестры.
- Правоприменение по ст. 274.1 УК РФ охватило 45 регионов России. Лидерами антирейтинга стали южные регионы, обогнав столицы.
Топ-5 регионов по количеству приговоров:- Краснодарский край — 54 приговора (30 обвинительных);
- Волгоградская область — 24 приговора;
- Республика Дагестан — 18 приговоров;
- Владимирская область — 15 приговоров;
- Архангельская область — 14 приговоров.
Москва и Московская область в число лидеров не вошли, что может говорить либо о лучшей защищенности столичных объектов, либо о специфике выявления преступлений в регионах.
- Парадокс практики: риски для национальной безопасности огромны, но финансовый ущерб в уголовных делах часто оценивается скромно.
- Общая сумма взысканий по гражданским искам за весь период составила 16 453 290 рублей;
- Разброс штрафов: от минимальных 1 000 рублей до 500 000 рублей;
- Максимальный иск: 1 370 000 рублей (взыскано в пользу банка).
Основная сложность — монетизация вреда. Часто ущерб носит нематериальный характер: подрыв деловой репутации, нарушение целостности баз данных, угроза жизни (в случае с медициной). Однако суды научились признавать вредом сам факт создания угрозы безопасности («цифровая аннигиляция» данных или риск их утечки).
- Важно понимать, что статья 274.1 УК РФ касается не только «взлома»:
- Ч. 1: Создание хакерского софта под КИИ;
- Ч. 2: Неправомерный доступ (взлом);
- Ч. 3: Нарушение правил эксплуатации. Это самая «бытовая» часть. Вас могут судить, если вы воткнули личную флешку в рабочий компьютер, скопировали базу данных на свой телефон или передали логин/пароль коллеге, а это привело к сбою или утечке;
- Ч. 4: То же самое, но с использованием служебного положения (самый частый состав).
На сайте опубликована неполная версия исследования. Полную версию в формате PDF можно получить на электронную почту.
- За период с 2018 по октябрь 2025 года в России сформировалась устойчивая практика применения одной из самых жестких «киберстатей» — 274.1 УК РФ.
