27 июня 2017 года Украина пережила масштабную хакерскую атаку, известную под названием вируса Petya A, в результате которой понесли немалые убытки тысячи компаний частного бизнеса, банковские учреждения, аэропорты, железные дороги и государственный сектор. В рамках данного обзора остановимся на аспектах защиты от возможных кибератак и преодоления их негативных последствий.
По своей сути хакерская атака представляет собой покушение на информационную безопасность компьютерной системы или сети. Ответственность за несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи предусмотрена положениями ст. 361 Уголовного кодекса Украины (далее – УК Украины).
Следует учитывать, что объективную сторону преступления, ответственность за которое регламентируется ст. 361 УК Украины составляют 1) исток; 2) потеря; 3) подделка; 4) блокирование информации; 5) искажение процесса обработки информации или 6) нарушение установленного порядка ее маршрутизации.
Таким образом, если имел место любой из указанных проявлений несанкционированного вмешательства в работу компьютеров, автоматизированных систем или компьютерных сетей, следует немедленно обратиться с заявлением о совершении преступления в правоохранительные органы, а именно полиции и, по возможности, заполнить заявление (сообщение о преступлении) на веб-сайте киберполиции.
Учитывая, что осуществление досудебного расследования по ст. 361 УК Украины возлагается на полицию, в районном управлении полиции необходимо получить извлечение из Единого реестра досудебных расследований (далее – ЕРДР) или справку о внесении сведений в ЕРДР и начала досудебного следствия.
Если следователи проявляют бездействие, внести сведения в ЕРДР их можно обязать через жалобу к следственному судье.
Получение же документа, что подтверждает начало досудебного расследования по ст. 361 УК Украины позволяет в дальнейшем претендовать на освобождение от ответственности за неисполнение/ненадлежащее исполнение обязательств со ссылкой на обстоятельства непреодолимой силы (форс-мажор) и привлечения к гражданской и хозяйственной ответственности лиц, за умышленные или неосторожные действия которых, собственно, и состоялась такая кибератака. В дальнейшем же необходимо будет пройти компьютерную экспертизу, которая и подтвердит заражение компьютера от вируса.
Так, если с признанием последствий кибератаки обстоятельствами форс-мажор возникает немало вопросов, в частности, относительно того, действительно ли лицо не могло предвидеть наступление таких последствий и завершая возможностью документального подтверждения окончания действия таких последствий, то привлечение лиц, через действия или бездействие которых наступили соответствующие последствия, представляется более перспективной.
Так, например, если заражение компьютера произошло через определенный вирус, который был распространен благодаря определенному программному обеспечению, вполне можно говорить об ответственности правообладателя такого программного обеспечения, как источника повышенной опасности.
Однако, опять же, при определении степени вины такого правообладателя программного обеспечения необходимо обратить внимание на соглашение пользователя (user license agreement), которое заключается при установке соответствующего программного обеспечения. Обычно, в таком соглашении устанавливаются существенные ограничения по размеру возмещения, который можно получить от соответствующего правообладателя программного обеспечения.
Что же касается ответственности за ненадлежащее исполнение налоговых обязательств в результате кибератаки, то, следует отметить, что действующее законодательство Украины, в частности, Налоговый кодекс Украины, не предусматривают такого основания для освобождения от ответственности за ненадлежащее исполнение обязательств плательщиком налогов за наступления последствий кибератаки. И хотя парламентом и был принят предложенный Министерством финансов Украины закон об освобождении бизнеса от ответственности за ненадлежащее исполнение обязательств по регистрации налоговых накладных через вирус Petya A, действие данного закона распространяется только на этот конкретный случай кибератаки, поскольку ограничена сроком действия – до 27 июня 2017 года». Безусловно, такой закон нуждается в дальнейшей доработке с целью его универсализации.
Таким образом, для эффективной защиты от кибератаки, следует заблаговременно позаботиться об определении последствий кибератаки как обстоятельств форс-мажор в договорных отношениях и своевременно обращаться в правоохранительные органы в случае наступления таких последствий для их фиксации и возможного дальнейшего защиты интересов бизнеса в судебных процессах. Несмотря на неоднозначность возможности определения последствий кибератаки в качестве обстоятельств форс-мажор, считаем, что более перспективным видится инициирование судебных процессов против правообладателей программного обеспечения, через которое произошло распространение кибератаки, как источника повышенной опасности.
Безусловно, вопросам кибернетической безопасности в эпоху кибервойн следует уделять больше внимания, используя защищенные соединения и лицензированное программное обеспечение, что позволит защитить бизнес и избежать многих негативных последствий.
По своей сути хакерская атака представляет собой покушение на информационную безопасность компьютерной системы или сети. Ответственность за несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи предусмотрена положениями ст. 361 Уголовного кодекса Украины (далее – УК Украины).
Следует учитывать, что объективную сторону преступления, ответственность за которое регламентируется ст. 361 УК Украины составляют 1) исток; 2) потеря; 3) подделка; 4) блокирование информации; 5) искажение процесса обработки информации или 6) нарушение установленного порядка ее маршрутизации.
Таким образом, если имел место любой из указанных проявлений несанкционированного вмешательства в работу компьютеров, автоматизированных систем или компьютерных сетей, следует немедленно обратиться с заявлением о совершении преступления в правоохранительные органы, а именно полиции и, по возможности, заполнить заявление (сообщение о преступлении) на веб-сайте киберполиции.
Учитывая, что осуществление досудебного расследования по ст. 361 УК Украины возлагается на полицию, в районном управлении полиции необходимо получить извлечение из Единого реестра досудебных расследований (далее – ЕРДР) или справку о внесении сведений в ЕРДР и начала досудебного следствия.
Если следователи проявляют бездействие, внести сведения в ЕРДР их можно обязать через жалобу к следственному судье.
Получение же документа, что подтверждает начало досудебного расследования по ст. 361 УК Украины позволяет в дальнейшем претендовать на освобождение от ответственности за неисполнение/ненадлежащее исполнение обязательств со ссылкой на обстоятельства непреодолимой силы (форс-мажор) и привлечения к гражданской и хозяйственной ответственности лиц, за умышленные или неосторожные действия которых, собственно, и состоялась такая кибератака. В дальнейшем же необходимо будет пройти компьютерную экспертизу, которая и подтвердит заражение компьютера от вируса.
Так, если с признанием последствий кибератаки обстоятельствами форс-мажор возникает немало вопросов, в частности, относительно того, действительно ли лицо не могло предвидеть наступление таких последствий и завершая возможностью документального подтверждения окончания действия таких последствий, то привлечение лиц, через действия или бездействие которых наступили соответствующие последствия, представляется более перспективной.
Так, например, если заражение компьютера произошло через определенный вирус, который был распространен благодаря определенному программному обеспечению, вполне можно говорить об ответственности правообладателя такого программного обеспечения, как источника повышенной опасности.
Однако, опять же, при определении степени вины такого правообладателя программного обеспечения необходимо обратить внимание на соглашение пользователя (user license agreement), которое заключается при установке соответствующего программного обеспечения. Обычно, в таком соглашении устанавливаются существенные ограничения по размеру возмещения, который можно получить от соответствующего правообладателя программного обеспечения.
Что же касается ответственности за ненадлежащее исполнение налоговых обязательств в результате кибератаки, то, следует отметить, что действующее законодательство Украины, в частности, Налоговый кодекс Украины, не предусматривают такого основания для освобождения от ответственности за ненадлежащее исполнение обязательств плательщиком налогов за наступления последствий кибератаки. И хотя парламентом и был принят предложенный Министерством финансов Украины закон об освобождении бизнеса от ответственности за ненадлежащее исполнение обязательств по регистрации налоговых накладных через вирус Petya A, действие данного закона распространяется только на этот конкретный случай кибератаки, поскольку ограничена сроком действия – до 27 июня 2017 года». Безусловно, такой закон нуждается в дальнейшей доработке с целью его универсализации.
Таким образом, для эффективной защиты от кибератаки, следует заблаговременно позаботиться об определении последствий кибератаки как обстоятельств форс-мажор в договорных отношениях и своевременно обращаться в правоохранительные органы в случае наступления таких последствий для их фиксации и возможного дальнейшего защиты интересов бизнеса в судебных процессах. Несмотря на неоднозначность возможности определения последствий кибератаки в качестве обстоятельств форс-мажор, считаем, что более перспективным видится инициирование судебных процессов против правообладателей программного обеспечения, через которое произошло распространение кибератаки, как источника повышенной опасности.
Безусловно, вопросам кибернетической безопасности в эпоху кибервойн следует уделять больше внимания, используя защищенные соединения и лицензированное программное обеспечение, что позволит защитить бизнес и избежать многих негативных последствий.
