Кибербезопасность: юридическая сторона вопроса
Центр правового консалтинга
Open/Close Menu Юридическая фирма ЦПК Киев
кибербезопасность

Ежегодно компания Cisco представляет отчет по информационной безопасности, в котором подробно рассматриваются техники и стратегии, используемые злоумышленниками для проведения различных хакерских атак. К сожалению, можно заметить тенденцию, что технологии совершенствуются с каждым днем, создавая все большее количество угроз и вредоносного программного обеспечения, в то время, как степень защиты бизнеса серьезно отстает. Новости о взломах информационных систем банков и платежных сервисов крупных компаний заполонили веб-ресурсы, и вызывают страх у многих организаций.

Однако не стоит думать, что объектом интереса хакеров являются только крупные компании с высокой степенью дохода. Малый и средний бизнес также может быть подвержен хакерской атаке. В первую очередь, это объясняется небольшой степенью защищенности информационных систем таких компаний или вовсе отсутствием любых средств защиты от угроз, использованием нелицензионного программного обеспечения (часто – для экономии средств), а также игнорированием корпоративного обучения на предприятии. Последствия хакерских атак для некоторых представителей малого и среднего бизнеса могут оказаться фатальными – непреодолимой преградой станут расходы на восстановление всех систем, а также удар по репутации компании.

Повышенный интерес у киберпреступников вызывает рынок криптовалют. С помощью различных способов проведения атак, хакеры осуществляют кражи электронных денег непосредственно у их владельца, или же используют для этого подручные ресурсы – кошельки, биржи и прочее.

Виды атак

Атаки на бизнес структуры могут приобретать абсолютно разные формы. Это может быть фишинг, который осуществляется, например, с помощью рассылки электронных сообщений сотрудникам. В подобном письме злоумышленники предложат перейти жертве по ссылке на определенный сайт, в который встроен вредоносный код. Таким образом, они получат доступ к корпоративной сети и смогут похитить необходимые данные. Очень часто хакеры используют так называемую социальную инженерию. Суть ее сводится к тому, что взломщик может изучать аккаунты в Facebook, Instagram, LinkedIn, в поисках информации о личных интересах, хобби, контактах. С ее помощью завлечь человека перейти по интересной ссылке и добиться своей цели гораздо проще. При этом жертва вряд ли что-то заподозрит. Также, атаки могут быть скрытыми, направленными на проникновение в сеть и долгосрочный сбор информации.

Отдельного внимания заслуживает использование вредоносного программного обеспечения. Эта проблема часто возникает из-за беспечности сотрудников и нежелания использовать денежные средства на лицензионную программную продукцию. Скачивая необходимые программы из сети абсолютно бесплатно, существует большой риск «заражения» компьютерных систем различными вирусами, которые могут, как вывести из строя технику, так и похитить важные данные.

Кибератаки на бизнес часто принимают форму преступлений, ведь наносят непоправимый ущерб своим жертвам. Как правило, такие деяния имеют финансовую направленность, то есть осуществляются с целью вымогательства, шантажа, мошенничества. Украденные данные продаются конкурентам или становятся объектом выкупа.

Одним из ключевых факторов, который может сдерживать неконтролируемые волны кибератак, является жесткая система наказаний киберпреступников, существующая, например, в США. Украина, к сожалению, на данный момент не может похвастаться настолько развитым и усовершенствованным законодательством по привлечению к ответственности за незаконные вредоносные действия хакеров.

Законодательство о кибербезопасности в Украине

Первым шагом на пути к созданию законодательства о кибербезопасности стало принятие Закона об основных принципах обеспечения кибербезопасности Украины в 2017 году. Анализируя данный нормативный акт, стоит отметить, что он носит скорее декларативный характер, не предусматривая ни требований к системам безопасности, ни инструкций на случай атаки. Вместе с этим Законом, который имеет достаточно ограниченную сферу действия, существует ряд других подзаконных актов, которые хоть и действуют, но потеряли свою актуальность.

Украинское законодательство несомненно отстает от европейского и американского правового регулирования вопросов кибербезопасности, однако не может не радовать тот факт, что Уголовный кодекс Украины предусматривает ответственность за совершение таких преступлений, как вмешательство в работу автоматизированных систем, создание, распространение или сбыт вредоносного программного обеспечения, несанкционированные действия с информацией, которая обрабатывается в компьютерах. С полным перечнем можно ознакомиться в Разделе 6 УК Украины.

Как правило, совершение такого рода преступлений влечет за собой ответственность в виде штрафа, ограничения свободы или исправительных работ. И только санкции статей о несанкционированном вмешательстве в работу автоматизированных систем, создании и распространении вредоносного ПО содержат такой вид наказания, как лишение свободы.

Первоочередную роль в расследовании кибератак играет своевременное проведение необходимых следственных действий, во время осуществления которых непременно должны присутствовать специалист в области информационных технологий и юрист. Их взаимодействие поможет собрать все необходимые материалы для доказательной базы, соблюдая нормы действующего уголовного процессуального законодательства.

Доказать совершение киберпреступления достаточно проблематично. Согласно УПК Украины, доказательствами в уголовном производстве являются фактические данные, полученные в порядке, предусмотренном законом, а источником доказательств, в свою очередь, являются показания, вещественные доказательства, документы и заключение эксперта. Зафиксировать следы преступления часто невозможно, ведь специфика киберпреступлений предусматривает возможность уничтожить следы. Вещественным доказательством может стать жесткий диск компьютера, однако сам по себе он не сможет предоставить всю существенную информацию. Чуть ли не единственным надлежащим и допустимым доказательством будет заключение эксперта по результатам компьютерно-технической экспертизы.

Однако, не только этап с получением доказательств будет трудным. Определить компьютер, с которого была осуществлена атака, а также установить лицо, напрямую причастное к преступлению, задача не из легких. Поэтому, оказывать правовую помощь, следить за эффективным проведением расследования, а также своевременно обратиться в компетентный правоохранительный орган поможет опытный в этой сфере адвокат.

Специалисты ЮФ «Центр правового консалтинга» в своей практике неоднократно защищали интересы клиентов, чьи предприятия пострадали от разрушительных действий хакеров. К примеру, украинская компания-разработчик программного обеспечения для подачи отчетности в контролирующие органы подверглась масштабной кибератаке, из-за которой пострадали многие пользователи данного ПО. Информация об отчетности многих компаний была уничтожена вирусом, который нанес непоправимый материальный и репутационный ущерб разработчику. Попытка такого хакерского вмешательства в программное обеспечение была сравнима с рейдерским захватом, однако компания смогла выстоять благодаря быстрой и слаженной работе наших специалистов. Также, наши юристы смогли предоставить квалифицированную помощь клиенту, чьи денежные средства, хранящиеся на банковских счетах, были переведены мошенниками на фирмы-однодневки, путем незаконного проникновения в программное обеспечение компании.

Беспечность жертв киберпреступлений приводит часто к непоправимым последствиям, поэтому лучше заранее обезопасить себя и свою компанию от возможных атак и угроз.

Политика информационной безопасности 

Важным элементом функционирования любой бизнес-структуры является политика информационной безопасности. Это определенная совокупность правил, требований, рекомендаций, существующих для регламентации порядка информационной деятельности организации и ориентированы на поддержание информационной безопасности. Часто это не один целостный документ, а несколько положений с ключевыми позициями. Например, положение об ответственности за информационную безопасность, правила обработки персональных данных, стандарты предприятия по каждой категории защищаемой информации, политика реагирования на киберугрозы. Хотя законодательством Украины не предусмотрено четкое регулирование требований к информационной безопасности, однако, эти юридические документы станут определенной гарантией безопасности бизнеса.

Также, стоит задуматься о том, что не только внешние факторы могут стать угрозой для бизнеса. Часто сотрудники, самостоятельно или по злому умыслу конкурентов, осуществляют кражу данных, наносят вред компьютерным системам. Предотвратить такую ситуацию или минимизировать риски поможет заключение ряда правовых документов: должностных инструкций, договоров о материальной ответственности, соглашений о конфиденциальности. В мире распространённой является практика применения соглашений о неконкуренции, которое заключается между работодателем и работником, запрещая последнему, после увольнения, работать на конкурента, который осуществляет деятельность в той же сфере, что и бывший работодатель. В Украине же такой пункт договора противоречит нескольким пунктам действующего законодательства, поэтому вряд ли поможет привлечь недобросовестного сотрудника к реальной ответственности.

Создание политики безопасности и заключение различных правовых документов – не единственная рекомендация, которой стоит внять для того, чтобы уберечь бизнес от кибератак.

Во-первых, соблюдать требования безопасности необходимо уже на стадии создания определенного продукта, сайта, системы, которые будут использоваться во время деятельности предприятия, обсудить с разработчиком ключевые моменты безопасности. Во-вторых, стоит помнить, что использование нелицензионного программного обеспечения рано или поздно приведет к различным проблемам. Важную роль играет и человеческий фактор. Заманчивая ссылка от незнакомого адресата часто может сыграть злую шутку, поэтому важно заниматься корпоративным обучением сотрудников, проводить тренинги и доводить до ведома правила кибергигиены.

Также, не менее существенным моментом является постоянное использование различных технических средств защиты – обновление программного обеспечения, тестирование на уязвимость. Для этого можно привлечь компанию, специализирующуюся в области тестирования систем и технического аудита. Договор на сотрудничество с такими компаниями также содержит ряд особенностей, которые могут остаться незамеченными для клиента, в случае если он не воспользуется помощью юриста. Беспечное отношение к вопросам кибербезопасности может, в итоге, привести к серьезным проблемам. К примеру, масштабная утечка данных более 50 миллионов пользователей социальной сети Facebook, осуществленная с использованием приложения для сбора информации, нанесла огромный ущерб компании, критически снизив стоимость ее акций, не смотря на годы ее успешного существования. Инцидент повлек за собой расследования правоохранительных органов и стал причиной сомнения пользователей в том, что их данные надежно защищены.

Кибербезопасность бизнеса, не смотря на свое громкое название, является очень важным аспектом успешной деятельности предприятия, особенно если компания имеет дело с конфиденциальной информацией, базами данных, беспокоится о сохранении коммерческой тайны и дорожит своей репутацией. Кибербезопасность обеспечивается не только рядом технических методик, важную роль в которых играют юридические средства защиты, упомянутые ранее. Главное — заблаговременно обратиться к компетентному юристу, который, основываясь на индивидуальных особенностях предприятия, проведет комплаенс-контроль и разработает все необходимые юридические документы для минимизации рисков в сфере кибербезопасности.


Анна Клименко, юрист ЮФ «Центр правового консалтинга»


IT юрист. Юридические услуги

IT компаниям



ООО "Центр правового консалтинга". ® ЦПК. 2005-2019. Все исключительные права на весь материал, размещенный на сайте, принадлежат ООО " Центр правового консалтинга ". Размещение материалов сайта на других площадках допускается исключительно при указании прямой видимой ссылки на первоисточник.

Pacta Sunt Servanda