Проблемы оценки ущерба, причиненного кибератакой (Д. Липин, журнал "Административное право", N 1, I квартал 2017 г.)

Проблемы оценки ущерба, причиненного кибератакой

Д. Липин

Журнал "Административное право", N 1, I квартал 2017 г., с. 17-21.

Все субъекты хозяйственной деятельности (коммерческие и некоммерческие организации), а теперь все больше и частные лица, в своей жизнедеятельности обязательно участвуют в электронном обмене информацией, в частности, в ее распространением. Неотъемлемой частью бизнес-процессов являются механизмы обмена информацией. Технологии обмена обеспечивают как внутренние механизмы взаимодействия между структурами организации или ее сотрудниками, так и взаимодействие организаций во внешней информационной среде со своими контрагентами, клиентами или потенциальной целевой аудиторией.

Механизмы обмена информацией и сама информация, являясь ценностью, могут подвергаться угрозам. Такие угрозы именуются угрозами безопасности и могут быть как внутренними (утечка, несоблюдение принципов безопасности), так и внешними (действия злоумышленников, атаки, взлом, повреждение или утрата информации из-за таких воздействий или возникших обстоятельств).

Таким образом, объектом кибератаки является не только информация, но и нарушение механизмов передачи и получения информации. В соответствии со статей 1064 ГК РФ основанием возникновения обязательства возмещения вреда служит гражданское правонарушение, выразившееся в причинении вреда другому лицу. Для наступления ответственности за причинение вреда в общем случае необходимы четыре условия: наличие вреда; противоправное поведение (действие, бездействие) причинителя вреда; причинная связь между противоправным поведением и наступившим вредом; вина причинителя вреда.

Однако вред - понятие достаточно широкое и может рассматриваться в социальном, фактическом и юридическом аспектах. Законодатель в ст. 1064 Гражданского кодекса Российской Федерации, обозначая последствия, которые могут возникнуть при посягательстве на личность или имущество гражданина или имущество юридического лица, использует единый термин "вред". Термин "ущерб" в этом случае вообще не употребляется, так как законодатель исходит из условия невозможности его реальной денежной оценки при причинении вреда личности и его нематериальным благам.

В теории гражданского права вред всегда относится к одному из элементов состава гражданского правонарушения и рассматривается как основание (условие) ответственности за причинение вреда (См.: Яичков К.К. Система обязательств из причинения вреда в советском праве. Вопросы гражданского права. Изд-во МГУ, 1957. С. 145.).

Анализ ст. 15 ГК РФ позволяет утверждать, что законодатель разграничил понятия "убытки", "ущерб" и "вред", определил режим их правового применения в зависимости от нарушения объектов гражданских прав. Это обусловлено тем, что термином "убытки", как правило, обозначаются последствия нарушения имущественных прав граждан и юридических лиц. (Статья: Соотношение понятий "вред", "убытки", "ущерб" (Пешкова О.А.) ("Мировой судья", 2010, N 7).

В ст. 12 Гражданского кодекса Российской Федерации, где определен перечень общих способов защиты, приводится такой способ защиты гражданских прав, как возмещение убытков, при этом способы такого возмещения не указаны. В этой же статье законодатель называет и такой способ защиты, как "компенсация морального вреда", разграничивая тем самым понятия "вред", "убытки". "Возмещение вреда" как самостоятельный способ защиты гражданских прав в Кодексе не предусмотрен.

Следует признать, что убытки лежат в плоскости нарушения имущественных прав, которые очень часто именуют имущественным вредом, что, на наш взгляд, не совсем верно. Вместе с тем понятие "вред", в том числе и тот, который не поддается денежной оценке, является шире понятия "убытки". Этот факт очевиден, так как "убытки" являются формой выражения имущественного вреда.

В отраслях права, регулирующих уголовные, трудовые отношения, употребляется термин "материальный ущерб", который фактически совпадает с понятием "реальный ущерб", используемым в гражданском праве. Анализ норм Уголовного кодекса Российской Федерации и Трудового кодекса Российской Федерации позволяет констатировать, что этот термин абсолютно совпадает с термином "реальный ущерб", употребляемым в гражданском праве, и по своей сути они являются равнозначными понятиями.

Отличительной особенностью вменения виновному лицу причиненного материального ущерба является то, что ущерб исчисляется на момент совершения правонарушения и к нему не может применяться практика возмещения убытков в виде неполученных доходов (упущенная выгода), принятая в гражданском праве и связанная с возможностью применения индексации к размеру ущерба. Например, при восстановлении имущественных прав потерпевшей стороны в уголовном праве неполученный доход (упущенная выгода) не подлежит возмещению, но если лицо желает взыскать упущенную выгоду или индексировать реальный ущерб, то имеет право это сделать в гражданском судопроизводстве. Исключением из этого правила является причинение материального (реального) ущерба работодателю работником в случаях, предусмотренных трудовым законодательством.

Следовательно, возмещение убытков нельзя отождествлять с возмещением вреда или ущерба, поскольку это вовсе не равнозначные понятия. Они различны по своему характеру возникновения и могут регулироваться различными нормами права.

Прямой действительный ущерб представляет собой разность в имущественном положении потерпевшего до и после причинения ему вреда. Неполученные доходы (упущенная выгода) отличаются от прямого действительного ущерба тем, что в последнем случае наличное имущество не увеличилось, хотя и могло увеличиться, если бы не правонарушение.

Что касается вопросов, связанных с причинением ущерба кибератакой, то есть в результате осуществления неправомерного доступа к информации или нарушения права на доступ к информации тех или иных лиц, то для оценки ущерба следует разграничить понятия, описывающие этот объект и дающие легальное его толкование. Так, согласно статье 2 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" информация - сведения (сообщения, данные), независимо от формы их представления; доступ к информации - возможность получения информации и ее использования; распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц; предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.

Таким образом, процессы, выполняемые информационными сервисами, являющиеся объектом кибератак, могут быть описаны с точки зрения закона как процессы, обеспечивающие распространение, предоставление и получение информации. То есть ущерб, причиненный кибератакой, должен оцениваться с точки зрения прав на получение, предоставление и распространение информации, которые были нарушены. При этом ущерб может быть причинен как обладателю информации (пункт 5 статьи 2), обладающему правом на распространение и предоставление информации в своих интересах, так и кругу лиц, обладающих правом на получение этой информации. Отдельно стоит выделить исключительные права на информацию как на объект авторского права.

Под непосредственным объектом неправомерного доступа к компьютерной информации автор полагает возможным понимать общественные отношения, обеспечивающие право обладателя компьютерной информации на ее безопасное создание, хранение, использование и передачу. При исследовании объектов непосредственного доступа к компьютерной информации целесообразно вкратце остановиться на таком понятии, как "дополнительный объект неправомерного доступа". Дополнительный объект - это общественные отношения, заслуживающие самостоятельной защиты применительно к целям и задачам издания конкретной нормы, которые охраняются законом лишь попутно, так как они неизбежно ставятся в опасность причинения вреда при посягательстве на основной объект.

(Статья "Ответственность за преступления против компьютерной информации по уголовному законодательству Российской Федерации" Степанов-Егиянц В.Г. "Статут", 2016).

Дополнительный объект повышает степень общественной опасности исследуемого преступления. Им могут быть отношения в области права собственности, в области авторского права, личные права и свободы граждан, неприкосновенность частной жизни. Как правило, наличие дополнительного объекта при совершении деяния, определяемого как неправомерный доступ к компьютерной информации, влечет за собой квалификацию по совокупности с соответствующими статьями УК РФ. Например, при неправомерном доступе, копировании и распространении компьютерной информации о частной жизни лица действия преступника будут квалифицироваться по совокупности ст. 272 и 137 УК РФ.

Большой научный и практический интерес вызывает вопрос определения предмета неправомерного доступа к охраняемой законом компьютерной информации. Под предметом преступления в отечественной уголовно-правовой науке обычно понимается элемент нормального правомерного общественного отношения, воздействуя на который, лицо нарушает (пытается нарушить) охраняемое законом общественное отношение (Никифоров Б.С. "Объект преступления по советскому уголовному праву". М.: Госюриздат, 1960. С. 130).

В последнее время в предмет преступления ученые включают не только материальные объекты, но и объекты нематериального мира. Например, С.В. Землюков относит к предмету преступления как материальные, так и нематериальные блага, по поводу которых существуют общественные отношения: жизнь, здоровье, честь, достоинство, права и свободы, имущество и т.п. (Российское уголовное право. Общая часть / Под ред. B.C. Комиссарова. СПб.: Питер, 2005. С. 154). А.В. Суслопаров считает предметом рассматриваемых составов "данные" (Суслопаров А.В. Информационные преступления: Дис. ... канд. юрид. наук. Красноярск, 2008. С. 124).

Таким образом, при фиксации общего ущерба, причиненного кибератакой, и дальнейшем его доказывании возникает ряд проблем, связанных с разграничением различных правоотношений, затронутых или нарушенных неправомерными действиями. В случаях, когда кибератака нарушает работоспособность информационных сервисов, осуществляющих процессы приема и передачи информации на какое-то время без утраты этой самой информации, то доказывание ущерба сводится к тому, что при помощи технических данных, фиксирующих работоспособность оборудования, обеспечивающего работу информационных сервисов, устанавливается длительность нарушения работоспособности сервиса и оценивается его средняя производительность по тем же данным за аналогичные временные отрезки.

В случае, когда имеется техническая возможность такой оценки, проблемы с доказыванием ущерба не возникают, что показывает практика, в частности, в деле акционера ЗАО "Хронопэй" Павла Врублевского, признанного виновным в DDoS-атаке на сайт авиакомпании "Аэрофлот" в 2010 году. Как установил суд, атака происходила с 15 по 24 июля 2010 года: была блокирована система оплаты и приобретения электронных билетов, в результате ООО "Ассист" потеряло около 15 миллионов рублей, ОАО "Аэрофлот" - свыше 146 миллионов рублей. (http://rapsinews.ru/judicial_news/20130731/268388972.html).

Хотя за последние 7 лет перечень потенциальных угроз информационной безопасности не столь значительно изменился, но изменились системы цифровых ценностей. Сейчас все больше внимания уделяется цифровой безопасности и сам факт соблюдения тем или иным обладателем информации, предоставляющим информационные сервисы, принципов безопасности является составляющей деловой репутации (то есть ценностью). Следовательно, сам факт возникновения инцидента безопасности, в результате которого было нарушено право на предоставление, распространение и получение информации, является фактом, причиняющим вред деловой репутации. При этом все чаще объектом современных кибератак являются персональные данные пользователей атакуемых сервисов, а целью атаки является получение доступа к этим данным. В случаях возникновения таких инцидентов возникает проблема в доказывании ущерба, причиненного субъекту персональных данных, поскольку эти данные не оцениваются в каком-либо количественно-качественном выражении, могут дублироваться другими сервисами, и в случае утечки источник этой утечки почти не подлежит идентификации. В целях доказывания ущерба, причиненного кибератакой с неправомерным доступом к данным, целесообразным было бы использование цифровых отпечатков (digital fingerprints), позволяющих отслеживать те или иные экземпляры файлов и источники их получения.

Рекомендации по подготовке к доказыванию ущерба, причиненного организациям, подвергающимся кибератаке, можно сформулировать, исходя из имеющейся практики, следующие.

Большинство организаций не имеют возможности самостоятельно провести оперативное расследование обстоятельств осуществления злоумышленниками кибератаки в отношении них, поэтому рекомендуется незамедлительно обратиться в правоохранительные органы после выявления возникшей угрозы информационной безопасности. Также надлежит незамедлительно уведомить об инциденте безопасности провайдера, организующего доступ к сети, посредством которой осуществляется атака на сервер (провайдер сети Интернет, через который подключен атакуемый сервер организации или хостинг-провайдер, обслуживающий сервер, на котором размещен атакуемый информационный ресурс).

Необходимо осуществлять фиксацию продолжительности атак, изменений характера атак, которые происходят, как правило, в качестве реакции на противодействие атаке. Злоумышленники поочередно могут использовать различные уязвимости систем безопасности, и если при блокировании угроз злоумышленники меняют характер атаки, используя другие уязвимости для продолжения атаки, то это дополняет субъективную сторону состава правонарушения.

Как следует из практики привлечения к ответственности организаторов атак или злоумышленников, осуществляющих неправомерный доступ к информации, у атаки или такого доступа всегда имеются мотивы в причинении ущерба. В большинстве случаев атака направлена на склонение атакуемого к совершению определенных действий - оплата определенной суммы для прекращения атаки или к несовершению определенных действий - прекращение обеспечения доступа к какой-либо информации. Необходимо постараться самостоятельно определить круг лиц, которые могут иметь мотивы в совершении атаки, и сообщить эти подозрения правоохранительным органам и/или дожидаться предъявления соответствующих требований со стороны злоумышленников.

Обязательно нужно осуществлять фиксацию IP-адресов (своими силами, силами сторонних организаций, осуществляющих защиту от атак, или силами провайдера), участвовавших в компьютерной атаке на информационный ресурс или на сервер. Данные действия существенно повысят вероятность установления организатора атаки и механизма ее организации (как следует из Апелляционного постановления Московского городского суда от 25.11.2013 по делу N 10-11502/2013 по ч. 2 ст. 272 УК РФ).

При появлении подозрений о совершении атаки надлежит осуществить временное блокирование счетов, доступ к которым возможет посредством сети Интернет. Поскольку злоумышленник, имеющий целью хищение денежных средств с помощью полученной информации, постарается совершить хищение незамедлительно (Кассационное определение Московского городского суда от 24.04.2013 по делу N 22-2480 по ст. 273 УК РФ).

Необходимо проводить регулярные инструктажи по информационной безопасности и исполнению кризисных протоколов среди сотрудников вашей организации.

Как гласят "методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации" (утв. Генпрокуратурой России):

"Важной составляющей при возбуждении уголовного дела являются объяснения сотрудников (персонала) потерпевшей организации - администраторов сети, инженеров-программистов, разработавших программное обеспечение и осуществляющих его сопровождение (т.е. отладку и обслуживание), операторов, специалистов, занимающихся эксплуатацией и ремонтом компьютерной техники; системных программистов, инженеров по средствам связи и телекоммуникационному оборудованию, специалистов, обеспечивающих информационную безопасность, работников службы безопасности и других.

Из данных объяснений можно выяснить обстоятельства обнаружения факта преступления (признаков его совершения, способов и средств, наступивших негативных последствий), наличие и функционирование информационной защиты, ее недостатки, иные причины и условия, которые могли быть использованы для совершения противоправных действий.

Решение о возбуждении уголовного дела принимается не только на основании материалов предварительных проверок заявлений потерпевших, организаций и должностных лиц, но и, как указывалось выше, по материалам органов, осуществляющих оперативно-разыскную деятельность при реализации оперативных разработок, результатов оперативно-разыскных действий по выявлению преступлений в сфере компьютерной информации и лиц, их совершивших".