Несколько недель назад мировая, в том числе и украинская, компьютерная система была поражена вирусом-шифровальщиком Petya.A. Эта атака стала самой масштабной кибератакой в истории независимой Украины.
Смертельный вирус
Как было установлено правоохранительными органами, вирус-шифровальщик сумел попасть в государственные структуры и частные компании из-за уязвимости программного обеспечения для отчетности и документооборота "M.E.Doc". По замыслу злоумышленников, этот вирус распространялся через систему обновления указанной программы.
Вирус Petya.A стал уже вторым случаем настолько масштабного вирусного поражения в мире. По своей структуре он очень напоминает вирус WannaCry, который сумел заразить более 300 тыс. компьютеров по всему миру в мае этого года. Сущность работы вируса направлена на поражение жесткого диска и шифрование файлов пользователей. Вся эта процедура приводит к тому, что без специального алгоритма, который может расшифровать файлы, пользователи не могут их использовать.
Однако усилиями правоохранительных органов, все-таки, вирус удалось преодолеть, а предприятия вернулись к нормальному режиму работы.
После того, как ситуация стабилизировалась, а работа большинства сервисов была восстановлена, возник вопрос: "кто виноват в ненадлежащей защите и благодаря чему удалось дестабилизировать жизнь страны?".
На сегодня есть проверенная информация, что руководство компании "M.E.Doc" неоднократно предупреждали об уязвимости их системы от вирусных атак. И как понятно из результата вирусной атаки, они все-таки проигнорировали эти предупреждения. А потому следует рассмотреть этот вопрос более подробно и разобраться во всех аспектах данной ситуации.
Перспективы ответственности за распространение вирусов
Прежде всего, следует оценить действия руководства "M.E.Doc" с точки зрения уголовного законодательства. Формально, действия руководства возможно классифицировать как служебную халатность, то есть невыполнение или ненадлежащее выполнение служебным лицом своих служебных обязанностей из-за недобросовестного отношения к ним.
Действительно, следует понимать, что программное обеспечение для документооборота, такое как "M.E.Doc", неразрывно связано с чрезвычайно большим количеством пользователей по всей стране. Игнорирование возможности поражения такой сети, даже без наличия прецедентов более чем за 20 лет, все равно является безответственным шагом и характеризует бездеятельность руководства.
Субъектом указанного преступления может быть исключительно служебное лицо, что также актуально для этого конкретного случая. Руководство компании "M.E.Doc" имеет тот необходимый комплекс полномочий, который позволяет назвать их служебным лицом.
Однако так только кажется на первый взгляд. На сегодня пока нигде не подтверждено, что правоохранительные органы действительно обращались к руководству с официальным обращением. А потому если в ходе судебного слушания правоохранительные органы не предоставят соответствующие доказательства, доказать факт служебной деятельности будет абсолютно невозможно.
Если все-таки киберполиция вместе со Службой безопасности Украины так и не смогут найти эти письма, руководство "M.E.Doc" может защитить себя и свою репутацию, ссылаясь на наличие обстоятельств форс-мажора.
Спасательный круг или как детализировать форс-мажор
Именно таким путем пошли большинство предпринимателей, пострадавших от вируса-шифровальщика. Для доказывания собственной невиновности они обратились в Торгово-промышленную палату Украины за удостоверением форс-мажорных обстоятельств.
В соответствии с Законом Украины "О торгово-промышленных палатах в Украине" форс-мажорными обстоятельствами (обстоятельствами непреодолимой силы) являются чрезвычайные и неотвратимые обстоятельства, которые объективно делают невозможным выполнение обязательств, предусмотренных условиями договора (контракта, соглашения и т. п.), обязанностей согласно законодательным и другим нормативным актам, и т. д.
Почти аналогичное определение форс-мажора содержится в Правилах пользования электрической энергией, утвержденных постановлением НКРЭ Украины от 31.07.96 г. № 28. Указанный документ определяет форс-мажорные обстоятельства как "чрезвычайную и непреодолимую при имеющихся условиях силу, защита от действия которой не предусмотрена в проектной и другой нормативной документации, действие которой невозможно предупредить применением высокопрофессиональной практики персонала ...".
К сожалению, ни в первом, ни во втором случае законодатель не дает исчерпывающего перечня обстоятельств, которые могут считаться форс-мажором, ограничившись классическим понятием "тощо". Такая позиция законотворца влечет неполное урегулирование вопроса обстоятельств непреодолимой силы. Поэтому указанный пробел может с легкостью использоваться как спасательный круг в процедуре освобождения от ответственности за нарушение условий договора.
В этой ситуации очень интересны вопросы: "мог ли вирус Petya.A попасть в украинскую сеть другим путем?", "Целенаправленно ли злоумышленники использовали "M.E.Doc", или имела место случайность?"
Точные ответы на эти вопросы могут дать только специалисты по кибербезопасности и правоохранительные органы, которые должны расследовать это преступление.
Понятно одно: государственные стандарты и законодательство, касающееся требований защиты от несанкционированного доступа, мягко говоря, "старое" и прямо говоря – из предыдущего столетия. Большое количество стандартов в сфере киберзащиты датируется концом девяностых, что никак не может сравниваться с международными стандартами. Но проблема состоит еще и в том, что до этих масштабных поражений данные вопросы вообще не поднимались. Вирус Petya.A только показал верхушку айсберга нашего законодательного урегулирования сферы безопасности информации. Кроме того, он показал, что частные структуры также не заинтересованы в киберзащите.
ВЫВОД:
Подытоживая, хочется сказать, что дело "M.E.Doc" вероятно стало "показательным" для населения, хотя никоим образом не нужно преуменьшать их вклад в распространении вируса. А потому в случае установления факта предупреждения руководства со стороны правоохранительных органов есть все основания говорить именно об уголовной ответственности, предусмотренной статьей 367 Уголовного кодекса Украины.