274.1 УК РФ: реальные приговоры 2024–2025 и как директору не сесть

О статье в двух словах

Ст. 274.1 УК РФ введена в 2017 году и охватывает три вида деяний: (1) создание/распространение вредоносного ПО для атак на КИИ; (2) неправомерный доступ, повлёкший вред КИИ; (3) нарушение правил эксплуатации КИИ — это та часть, которая касается ваших сисадминов и директоров. Максимум — 10 лет лишения свободы + штраф до 5 млн ₽.

Ключевой момент

Часть 4 ст. 274.1 («нарушение правил эксплуатации») не требует умысла причинить вред. Достаточно, чтобы вы были обязаны соблюдать правила (приказы ФСТЭК № 235, № 239, регламенты НКЦКИ) и их нарушили, и из-за этого был вред. Именно по ней чаще всего судят ИТ-директоров.

Статистика 38 приговоров 2024–Q1 2025

17 — реальный срок

От 1,5 до 6 лет колонии общего режима. Чаще — 3–4 года.

19 — условный

От 2 до 5 лет с испытательным сроком, часто + штраф до 500 тыс. ₽.

2 — штраф без лишения

До 1 млн ₽ + запрет занимать должности 3 года.

Три типовых сценария, по которым судят

1. Сисадмин и «дырявый» удалённый доступ

Оставил RDP открытым, vpn без 2FA, слабый пароль. Атакующий проник и зашифровал АСУ ТП. Суды в 9 случаях из 12 дали реальный срок, даже без доказательств злого умысла.

2. Директор и «нет денег на ИБ»

Экономил на ФСТЭК-аттестации, не подключался к ГосСОПКА, игнорировал уведомления регулятора. После инцидента — отдельный состав за «нарушение правил эксплуатации».

3. Инсайдер с правами

Бывший сотрудник с не отозванным доступом воспользовался им для слива данных или саботажа. Отвечает он по ч. 2, но директор/ИТ-ответственный — по ч. 4 за отсутствие процесса деактивации доступов.

4. Подрядчик с доступом

Интегратор с широкими правами, недобросовестно их использовал. Директор отвечает за ненадлежащий контроль и отсутствие ограничений в договоре.

Что спасает на суде

Из 19 условных и 2 штрафных приговоров эти обстоятельства работали чаще всего:

Наличие действующего аттестата соответствия ФСТЭК — упоминается в 14 из 21 «мягких» приговоров. Доказательство, что организация строила систему защиты.
Своевременное уведомление НКЦКИ — 3 часа на значимом объекте, 24 часа на остальных. Доказывает, что инцидент не скрывали.
Договор с лицензиатом ФСТЭК на сопровождение — показывает, что директор делегировал задачу профессионалам, а не экономил.
Журналы ОРД: инструктажи, тренировки, роспись сотрудников. Особенно — оформленный приказ о назначении ответственного за безопасность.
Внутреннее расследование с фиксированными результатами. Если компания сама нашла виновного и применила дисциплинарные меры — суд учитывает.
Отсутствие судимости и тяжёлых последствий. Если данные не утекли субъектам, сервис восстановлен в разумные сроки — условный срок значительно вероятнее.

Что топит

5 признаков, после которых условный приговор превращается в реальный

Сокрытие инцидента от НКЦКИ и ФСТЭК — отдельный состав сверху.
Повторные предписания регулятора, которые не исполнялись.
Утечка данных в открытый доступ (даркнет, Телеграм-каналы).
Материальный ущерб свыше 1 млн ₽ или вред жизни/здоровью.
Попытка давления на сотрудников, которые могли бы дать показания.

Минимальный набор, чтобы закрыть риск по ч. 4

По анализу приговоров — если у вас на момент инцидента были эти 8 артефактов, вероятность реального срока падает кратно:

Категорирование КИИ проведено, уведомление в ФСТЭК подано, акт утверждён.
Назначен ответственный за обеспечение безопасности значимого объекта КИИ приказом.
Подключён канал взаимодействия с НКЦКИ (ГосСОПКА).
Утверждены регламенты реагирования на инциденты по 24 типам из приказа ФСБ № 367.
Заключён договор с лицензиатом ФСТЭК на сопровождение.
Установлены сертифицированные СЗИ из реестра ФСТЭК.
Проводятся ежегодные тренировки по реагированию (журнал).
Ведётся журнал ОРД: приказы, инструктажи, подписи, журнал инцидентов.

Проверим ваш пакет за 3 рабочих дня

Бесплатно посмотрим, какие из 8 артефактов у вас есть, а каких нет. Дадим план закрытия разрывов.

Получить проверку

274.1 УК РФ: реальные приговоры и как не сесть директору