Повестка свидетелем по сбою КИИ: могу стать обвиняемым? На практике — да, и это одна из самых частых развилок в делах о нарушении правил эксплуатации и безопасности критической информационной инфраструктуры. Следователь нередко начинает с «просто уточнить детали», а затем фиксирует в протоколе формулировки, из которых складывается версия о вашей персональной ответственности.
Опасность в том, что сбой КИИ почти всегда расследуется как цепочка решений: кто настраивал доступы, кто утверждал регламенты, кто отключал защиту «на время», кто не сообщил о инциденте, кто подписал акт о работоспособности. Если вы администратор, инженер ИБ, руководитель подразделения, подрядчик по сопровождению или лицо, допускающее к системе, то одно неосторожное признание «я так сделал, потому что было нужно для работы» может быть истолковано как умысел, грубая неосторожность или соучастие.
Кратко по сути: Повестка свидетелем по сбою КИИ: могу стать обвиняемым?
- Можете: статус свидетеля не защищает от последующего привлечения, если показания и материалы проверки дают основания для подозрения.
- Ключевой рубеж — ваши ответы о роли в инциденте (кто принял решение, кто имел доступ, кто контролировал меры защиты).
- Следствие оценивает не только факт сбоя, но и нарушение регламентов, наличие предупреждений, журналов событий, переписку и изменения конфигураций.
- Даже без «взлома» возможна уголовно-правовая квалификация при нарушении правил эксплуатации КИИ, если наступили последствия.
- Адвокат нужен до допроса: он выстроит позицию защиты, ограничит самооговор и зафиксирует процессуальный порядок.
Тактика и стратегия в ситуации: Повестка свидетелем по сбою КИИ: могу стать обвиняемым?
В таких делах важно не «отговариваться», а управлять рисками через правильный процессуальный порядок и заранее выбранную позицию защиты. Следователь будет проверять вашу версию на внутреннюю согласованность и на соответствие цифровым следам. Поэтому при подготовке мы работаем по трем контурам: (1) квалификация и границы вашей роли; (2) состав деяния и форма вины (умысел/неосторожность); (3) доказательства и их допустимость.
Точки контроля: не подменять факты оценками, не соглашаться с навязанными формулировками («вы допустили», «вы обязаны были»), не реконструировать «как было», если нет уверенности. Презумпция невиновности не отменяет того, что ваши слова станут базой для экспертиз, запросов в SOC, анализа логов и служебных проверок. Ваша задача — сообщать только то, что точно знаете и можете подтвердить, отделяя служебные обязанности от управленческих решений, а доступы — от фактических действий.
Нормативное регулирование и правовые институты
Расследование сбоев КИИ опирается на уголовно-правовые нормы о нарушении правил эксплуатации и безопасности КИИ, а также на процессуальные правила УПК РФ о статусах участников, правах при допросе, порядке изъятия носителей и назначении экспертиз. Содержательно следствие сверяет фактические действия с требованиями законодательства о критической информационной инфраструктуре и подзаконными требованиями регуляторов к мерам защиты, управлению доступом, журналированию, реагированию на инциденты и расследованию. Важный институт — причинно-следственная связь: нужно доказать, что именно нарушение правил, относимое лично к вам, привело к существенным последствиям, а не общая «плохая защищенность» или управленческий дефицит ресурсов.
Как это работает на практике
Сценарий 1: Администратор «временно» ослабил контроль
Ситуация: для срочного восстановления сервиса вы отключили часть защитных механизмов или расширили права. Риск/ошибка: сказать «я отключил, иначе не работало», не указав, кто санкционировал и какие альтернативы были. Верное решение: фиксировать, что действовали в рамках аварийного регламента/заявки, с согласованием, с последующим восстановлением мер, и отделить техническое действие от управленческого решения о риске.
Сценарий 2: Руководитель ИТ/ИБ подписал документы без реального контроля
Ситуация: на бумаге внедрены меры, но фактически они не работали. Риск/ошибка: признать «я отвечал за все», что может быть использовано для построения личной ответственности. Верное решение: показать распределение обязанностей, ресурсные ограничения, доклады, заявки на финансирование, служебные записки и то, что контроль был организован в разумных пределах.
Сценарий 3: Подрядчик сопровождения получил доступ и произошел инцидент
Ситуация: доступы выдавались по договору, часть работ делалась удаленно. Риск/ошибка: огульно подтверждать, что «доступ был у нас», не уточняя конкретные учетные записи и рамки. Верное решение: ограничить показания фактическими действиями по заявкам, потребовать конкретизации вопросов, указать на порядок выдачи доступов заказчиком и на журналы, подтверждающие, кто реально выполнял операции.
Типичные ошибки в данной ситуации
- Приходить на допрос без адвоката, считая, что «я же свидетель».
- Давать объяснения «по памяти» о технических деталях, которые проверяются логами и конфигами.
- Подписывать протокол, не читая каждую формулировку и не внося замечания.
- Соглашаться с оценочными тезисами следователя («нарушили требования», «обязаны были предотвратить»).
- Сдавать пароли, токены, доступы или «помогать» входом в системы без процессуального оформления и копии протокола.
- Обсуждать дело с коллегами в чатах и почте, создавая переписку, которую потом истребуют.
Что важно учитывать для защиты прав
Защита строится на связке: роль лица в инциденте → конкретные обязанности и полномочия → конкретное нарушение правила → последствия → причинная связь → форма вины. Если хотя бы одно звено не доказано надлежащими и допустимыми доказательствами, обвинение становится уязвимым. В делах о КИИ критична допустимость доказательств: как изымались серверы/ноутбуки, соблюден ли порядок копирования, целостность образов, цепочка хранения, корректность экспертных методик, не подменены ли «журналы событий» скриншотами без источника. Отдельный пласт — экспертизы и специальные исследования: вопросы эксперту должны быть юридически корректны (не подменять вывод о виновности), а исходные данные — проверяемы.
Если видите, что вас подводят к самооговору или к признанию управленческой ответственности, правильно ставить границы: отвечать по существу вопроса, требовать конкретизации, ссылаться на документы, а при необходимости пользоваться правом не свидетельствовать против себя и близких. Это не «признание вины», а законный инструмент защиты.
Практические рекомендации адвоката
- Проверьте, в каком качестве вызывают: свидетель/подозреваемый/объяснение в рамках доследственной проверки; запросите реквизиты дела и контакт следователя.
- Не обсуждайте инцидент в рабочих чатах и не «согласовывайте версии»; сохраните текущие переписки и уведомите адвоката о рисках их истребования.
- Соберите документы: должностную инструкцию, регламенты реагирования, заявки/тикеты, акты работ, приказы о доступах, служебные записки, отчеты SOC, журналы изменений.
- С адвокатом составьте карту событий: что вы делали лично, что делали другие, какие решения принимались руководством, что подтверждается логами.
- На допросе: отвечайте только на заданный вопрос, избегайте предположений, фиксируйте замечания к протоколу и требуйте внесения правок.
- При изъятии техники/выемке: добивайтесь процессуального оформления, перечня изъятого, копий протоколов; заявляйте ходатайства о копировании данных, необходимых для работы.
- Если чувствуете риск смены статуса: прекращайте «разговорный» формат, требуйте официального допроса с защитником и выстраивайте единую позицию защиты.
Вывод
Повестка свидетелем по сбою КИИ действительно может закончиться статусом подозреваемого или обвиняемого, если ваши показания и цифровые следы позволят следствию построить квалификацию и причинную связь. Лучший способ защититься — прийти подготовленным, с адвокатом, с документами и с четкими границами того, что вы точно знаете и за что реально отвечали.
Какая у вас роль в инфраструктуре: администратор, ИБ, руководитель, подрядчик — и какие формулировки следователь уже использует в разговорах о «вине»?
Информация актуальна по состоянию на июнь 2026.