close
МЕНЮ

Публікації

Ключові контакти
24 Вересня 2020

Кібер-план

Джерело: Судовий вісник

Через існуючі «кіберпрогалини» у законодавстві для бізнесу та державних органів залишаються загрози з боку кіберзлочинності

Пошта, месенджери, налаштування на відеоконференції, мобільні додатки, бази даних, файли — це все, що є в телефоні майже кожного співробітника сучасної компанії. За останніх п’ять років значний сегмент бізнесу почав застосовувати цифрові технології, а після економічної кризи та світового карантину запровадження цифрових технологій у повсякденному житті співробітників стало нормою. Віддалена робота майже всіх компаній призводить до появи нових технологій, однак разом із тим і нових загроз, викликів та ризиків, серед яких — незаконний продаж конфіденційної інформації, фішинг, криптоджекінг, іншого роду атаки тощо.

Варто зауважити, що юридичний ринок не є винятком. Багато компаній та юристів перейшли на віддалену роботу або мають змішану форму. Однак держава та органи досудового розслідування також не відстають від світових тенденцій. Упродовж останнього року за захистом своїх прав звертається вдвоє більше ІТкомпаній, ніж це було раніше, при цьому компанії є як потерпілими, так і фактично стають підозрюваними в особі окремих співробітників.

Що переслідується

Ключовими статтями для розслідування злочинів стосовно IT-компаній є злочинні діяння, прописані в розділі XVI Кримінального кодексу (КК) України, серед яких найчастіше інкримінуються такі: стаття 361 КК України (несанкціоноване втручання в роботу електроннообчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку), стаття 361і КК України (створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут), стаття 3612 КК України (несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або на носіях такої інформації). Однак не варто забувати, що і стаття 190 КК України (шахрайство) дуже часто є підставою для відкриття кримінального провадження проти 1Т-компаній чи компаній, які працюють у сфері надання інформаційних і технологічних послуг.

Органом досудового розслідування зазвичай виступає регіональне слідче управління або Головне слідче управління Національної поліції, однак у групу слідчих включаються обов’язково представники Департаменту кіберполіції та Департаменту контррозвідувального захисту інтересів держави у сфері інформаційної безпеки Служби безпеки України (ДКІБ СБУ). Цікавим є факт, що ключовою структурою в розслідуванні виступає саме або кіберполіція, або ДКІБ СБУ. Одним із головних доказів для обгрунтування підстав необхідності проведення обшуку чи пред’явлення повідомлення про підозру є проведена експертиза мобільного додатку, програмного забезпечення, бази даних тощо, де зазначається про можливі/’потенційні/реальні порушення з боку компанії при напрацюванні інформаційного продукту чи при його використанні.

Наявні приклади

На практиці ІТкомпанії страждають від своєї діяльності, де основною претензією з боку органів правопорядку є або незаконний збір персональних даних, або використання шкідливого програмного забезпечення (ШПЗ). За приклад може бути взяте реальне викрите кримінальне провадження щодо діяльності ТОВ «А» за фактом нібито використання в мобільному додатку шкідливого програмного забезпечення. До сьогодні чіткого розуміння, що є шкідливим програмним забезпеченням, немає. Для цього проводиться спеціальна експертиза, де одним із питань є саме питання щодо наявності ШПЗ. Після встановлення такого факті’ в компанії є декілька варіантів захисту. серед яких доводити зворотне, проводячи також експертизи та запрошуючи на допит спеціалістів з програмного забезпечення.

Іншим прикладом може бути діяльність ТОВ «В», пов’язана з оплатою наданих послуг, та, як наслідок, надання стандартної інформації про банківську картку. Акумулювання такої інформації з дозволу користувача без її незаконного використання може стати підставою для проведення в компанії обшуку. Тобто щоб уникнути таких випадків на сайті чи в мобільному додатку, потрібно максимально детально прописувати всі умови та стандарти роботи.

Як уже зазначалося вище, ІТ-компанія чи будь-яка інша компанія може бути також і потерпілою стороною. Достатньо гучне кримінальне розслідування було за фактом незаконного використання програмного забезпечення з функціонування «бот-мережі», за допомогою якої відбувалося автоматичне бронювання всіх доступних для придбання квитків на концерти, тим самим блокуючи можливість придбання таких квитків іншими користувачами. Такі неправомірні дії у подальшому призводили до заподіяння матеріальних збитків онлайн-сервісам, які продавали квитки (ухвала Деснянського районного суду м. Києва від 10 вересня 2020 року у справі № 754/11643/20). У такій ситуації компанія та фізична особа

вимушені були звернутися до кіберполіції задля захисту своїх прав. 1 такі випадки — непоодинокі. Достатньо загадати масові «мінування» в Києві, від яких страждають торгові центри, супермаркети, офісні приміщення тощо. За цими фактами відкриті кримінальні провадження, та кіберполіція намагається запобігти їм у подальшому.

Також є випадки, коли і фізичні особи є потерпілими від такої категорії злочинів. Наприклад, Національна поліція розслідує кримінальне провадження за фактом порушення таємниці листування, що передається засобами зв’язку, вчинене стосовно державного діяча — народного депутата України — та за фактом несанкціонованого втручання в роботу електронно-обчислювальних машин, а саме: мобільного пристрою народного депутата України, що призвело до витоку інформації з ознаками кримінальних правопорушень, передбачених частиною 2 статті 163, частиною 1 статті 361 КК України (ухвала Печерського районного суду від 21 лютого 2020 року у справі № 757/7394/20-к).

Іншим прикладом може бути кримінальне провадження через незаконне отримання інформації щодо військовослужбовців Збройних Сил України (ЗСУ). Так, кіберполіція встановила, що є Telegram-бот, який здійснює поширення особистих даних військовослужбовців, у тому числі Збройних Сил України, тим самим даючи можливість збирати розвідувальну інформацію про військовослужбовців ЗСУ і в подальшому використовувати цю інформацію в злочинних цілях (ухвала Печерського районного суду м. Києва від 5 Лютого 2020 року у справі № 757/59008/19-к). Тобто кібезлочини — це не тільки загроза для бізнесу, але й загроза для національних інтересів.

У нашій практиці також були випадки проведення досудового розслідування

стосовно IT-компаній і за більш «екзотичними» статтями КК України. Зокрема, це стаття 332 (незаконне переправлення осіб через державний кордон України, автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку) та стаття 332і (порушення порядку в’їзду на тимчасово окуповану територію України та виїзду з неї). Претензії з боку Служби безпеки України були до однієї з глобальних компаній, IT-провайдера у сфері відпочинку та були пов’язані з продажем авіаквитків до тимчасово окупованої території його контрагентами на території України.

Таким чином, не варто розраховувати, що бізнес чи державні органи можуть уникнути загроз із боку кіберзлочинності чи не можуть стати об’єктом розслідування. Як би не намагалися юристи, служба безпеки компанії, найкращі ІТспеціалісти захистити інформацію, все одно залишаються «кіберпрогалини», якими можуть скористатися злочинці, або такий факт може бути використаний проти компанії для відкриття кримінального провадження.

Поділитися:

Далі Публікації
Показати більше