27 червня 2017 року Україна пережила масштабну хакерську атаку, відому під назвою вірусу Petya A, внаслідок якої зазнали чималих збитків тисячі компаній приватного бізнесу, банківські установи, аеропорти, залізниці та державний сектор. В межах цього огляду зупинимося на аспектах захисту від можливих кібератак та подолання їх негативних наслідків.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
За своєю суттю хакерська атака представляє собою замах на інформаційну безпеку комп’ютерної системи або мережі. Відповідальність за несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку передбачена положеннями ст. 361 Кримінального кодексу України (далі – КК України).
Слід враховувати, що об’єктивну сторону злочину, відповідальність за який регламентується ст. 361 КК України становлять 1) витік; 2) втрата; 3) підробка; 4) блокування інформації; 5) спотворення процесу обробки інформації або 6) порушення встановленого порядку її маршрутизації.
Таким чином, якщо мав місце будь-який із зазначених проявів несанкціонованого втручання в роботу комп’ютерів, автоматизованих систем або комп’ютерних мереж, слід негайно звернутися з заявою про вчинення злочину до правоохоронних органів, а саме поліції та, за можливості, заповнити заяву (повідомлення про злочин) на веб-сайті кіберполіції.
Враховуючи, що здійснення досудового розслідування за ст. 361 КК України покладається на поліцію, в районному управлінні поліції необхідно отримати витяг з Єдиного реєстру досудових розслідувань (далі за текстом – ЄРДР) або довідку щодо внесення відомостей до ЄРДР та початку досудового слідства.
Якщо слідчі проявляють бездіяльність, внести відомості до ЄРДР їх можна зобов’язати через скаргу до слідчого судді.
Отримання ж документу, що підтверджує початок досудового розслідування за ст. 361 КК України дозволяє в подальшому претендувати на звільнення від відповідальності за невиконання/неналежне виконання зобов’язань з посиланням на обставини непереборної сили (форс-мажор) та притягнення до цивільної та господарської відповідальності осіб, через умисні або необережні дії яких, власне, й відбулася така кібератака. В подальшому ж необхідно буде пройти комп’ютерну експертизу, яка й підтвердить зараження комп’ютеру від вірусу.
Так, якщо з визнанням наслідків кібератаки обставинами форс-мажор виникає чимало запитань, зокрема, щодо того, чи дійсно особа не могла передбачити настання таких наслідків та завершуючи можливістю документального підтвердження закінчення дії таких наслідків, то притягнення осіб, через дії або бездіяльність яких настали відповідні наслідки, видається більш перспективною.
Так, наприклад, якщо зараження комп’ютеру відбулося через певний вірус, який було розповсюджено завдяки певному програмному забезпеченню, цілком можна говорити про відповідальність правовласника такого програмного забезпечення, як джерела підвищеної небезпеки.
Однак, знову ж таки, при визначенні ступеня вини такого правовласника програмного забезпечення необхідно звернути увагу на угоду користувача (user license agreement), яка укладається під час встановлення відповідного програмного забезпечення. Зазвичай, у такій угоді встановлюються суттєві обмеження щодо розміру відшкодування, який можна отримати від відповідного правовласника програмного забезпечення.
Що ж стосується відповідальності за неналежне виконання податкових зобов’язань внаслідок кібератаки, то, слід зазначити, що чинне законодавство України, зокрема, Податковий кодекс України, не передбачають такої підстави для звільнення від відповідальності за неналежне виконання зобов’язань платником податків через настання наслідків кібератаки. І хоча парламентом і було прийнято запропонований Міністерством фінансів України закон щодо звільнення бізнесу від відповідальності за неналежне виконання зобов’язань щодо реєстрації податкових накладних через вірус Petya A, дія даного закону розповсюджується лише на цей конкретний випадок кібератаки, оскільки обмежена строком дії – «до 27 червня 2017 року». Безумовно, такий закон потребує подальшого доопрацювання з метою його універсалізації.
Таким чином, для ефективного захисту від кібератаки, слід завчасно подбати про визначення наслідків кібератаки як обставин форс-мажор у договірних відносинах та своєчасно звертатися до правоохоронних органів у разі настання таких наслідків для їх фіксації та можливого подальшого захисту інтересів бізнесу у судових провадженнях. Зважаючи на неоднозначність можливості визначення наслідків кібератаки у якості обставин форс-мажор, вважаємо, що більш перспективним вбачається ініціювання судових процесів проти правовласників програмного забезпечення, через яке відбулося поширення кібератаки, як джерела підвищеної небезпеки.
Безумовно, питанням кібернетичної безпеки в епоху кібервійн слід приділяти більше уваги, використовуючи захищені з’єднання та ліцензоване програмне забезпечення, що дозволить захистити бізнес та уникнути багатьох негативних наслідків.