Кибератака на колхоз

На общем собрании колхоза сперва выбрали виноватого. Затем единогласно решили, кто нам что должен: ДФС должна отменить штрафы, киберполиция должна посадить хакеров и топов Медка , ТПП должна распечатать миллион справок о форс-мажоре и раздавать их в центре города всем желающим.

На этом довольные от собственной всесильности и delegation skills участники ордена красного знамени, имени Ленина и Кевина Митника колхоза расходятся кто куда: кто отмывать ноутбуки от вирусов новым средством от вирусов Fairy, кто в церковь — замоленные сервера забирать, кто протирать розетки влажной тряпкой, ну а самым несчастным выпала обязанность к адвокату сходить.

Адвокат злой и не радует колхозника. Вот следователь — хороший. Ноутбук забрал, скотчем обмотал и под стол аккуратно положил, 190-ю пообещал, и посадить весь Медок пообещал, и даже памятку выдал. Постановление о признаии потерпевшим рано, говорит, но памятка — это почти то же самое, говорит. А вот адвокат плохой. Адвокат — полное говно, конечно. Разве же хороший человек будет говорить, что:

(1) Стоит читать EULA перед тем, как покупать софт, а не после.

Это непростая задача, ведь по всем известной статистике EULA перед установкой софта читают лишь 1% сумасшедших. А идти наперекор статистике, тем более всем известной, непростая задача.

EULA Медка найти непросто. Для этого нужно было начать его устанавливать, а это стремно. Но Ваня Яни где-то раздобыл текст, за что ему огроменное спасибо. Весь текст лежит в комментариях вот тут. Приведу только один пункт:

2.5. Ліцензіар не несе відповідальність за будь-які втрати або збитки, що виникли в разі використання, або неможливості використання Програми.

В договоре с дистрибьютором Медка тоже ответственность ограничена:

Понимаете, о чем я? Компания покупает софт, который будет помогать ей исполнять свои обязательства перед государством. Но в случае, если софт не исполнит свои обязательства, то ответственность несет компания, а никакой там не продавец или производитель софта.

Тут я вспоминаю, как клиентов не радуют условия в договоре о предоставлении юридических услуг в части ограничения моей ответственности суммой гонорара. А в случае с Медком ответственности никакой нет вообще.

Но знаете что, это нормально. Софт распространяется as is и подобное условие есть у 90% всех вендоров. Никто не несет ни за что ответственности. Вот EULA Эппла на айос:

Кстати, две недели назад мы с Holger Zscheyge и @Kirill Belskiy обсуждали тему кибератак, когда в эфир стремительно ворвался Andrey Horsev именно с подобным комментарием:

(2) M.E.Doc полные профаны в кибер безопасности, но вот только посадить их не удастся (и правильно).

Чак Норрисы из киберполиции суровы и безапелляционны в своих публичных заявлениях:

“Вони про це знали. Їх багато раз попереджали різні антивірусні компанії. За цю зневагу ці люди постануть перед кримінальною відповідальністю”, — заявив Демидюк.

Керівники компанії M.E. Doc, Олеся Линник та її батько Сергій, повідомили Reuters, що їх програмне забезпечення не відповідає за поширення вірусу, і вони не розуміють висунення звинувачень проти них.

Вчера я был на круглом столе по кибербезопасности ТПП. И чуть не отхватил от возмущенной публики люлей — я же злой адвокат, значит плохой. Но дело не в этом. Передо мной выступал представитель киберполиции, который сказал вот что:

Это “за одну секунду до” того, как мне захотели навалять присутсвтующие

• понимаете, мы же новое подразделение, мы еще учимся и
• понимаете, у нас же нет следственных полномочий.

Я знаком с действующими и бывшими киберполицейскими, с некоторыми — со стадии собеседования в киберполицию. Потому ничего плохого сказать о них не могу: их мало, как для 40 миллионной Украины, но они красавчики.

Вот что у них хромает — так это публичная риторика руководства. Некоторые бухгалтеры при слове “налоговая проверка” в обморок падают. А вот киберполиции никто не боится. Вот именно из-за “ну вы же понимаете, мы…”.

С этой кибератакой дело даже не в том, что у киберполиции не хватит сил расследовать дело: яйца руководства киберполиции в надежных руках чуть ли не лично Президента, поэтому следствие будет двигаться бодренько. Думаю, что через год триста томов дела передадут в суд вместе с обвинительным заключением такого же размера.

Еще через три года суд допросит тысячу свидетелей и…закроет дело. Потому что хакеров не найдут, а если каких-то и найдут (благо, в стране появились специальные “белые хакеры”), то не докажут их причастность.

А вот в эпизоде с Медком все еще хуже: руководство Медка зафакапило все, что можно зафакапить, начиная безопасностью и заканчивая пабликом. Но повесить на них можно разве что государстенную измену. Правда, ровно с таким же успехом, как и распространение порнографии, наркотиков и оружия.

Вот возьмем, к примеру, статью 363 Уголовного кодекса:

Стаття 363. Порушення правил експлуатації електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку або порядку чи правил захисту інформації, яка в них оброблюється

Кто-то из моих коллег предлагал именно эту статью для топов Медка. Я верю в силу украинского правосудия натянуть любую статью на любого человека. В данном случае нужно будет доказать: (а) что существуют обязательные для бизнеса правила эксплуатации компьютеров/сетей или же такие локальные правила существовали в Медке (б) что эти самые правила ответственные сотрудники (=под подпись с локальными правилами ознакомленные) Медка нарушили сознательно (да, я в курсе о разных формах вины, спасибо).

(3) С чего вы вообще взяли, что это форс-мажор?

Разумеется, когда диски всех сотрудников зашифрованы, выполнить свои обязательства перед контрагентами непросто. Тут на выручку приходит форс-мажор. Ведь зашифрованные диски — это форс-мажор, верно? Ну ведь верно же, да?

Формулировки форс-мажора у всех разные, так что возможно, вы сможете получить справку в ТПП и затем убедить в форс-мажоре своего заказчика. Но вероятность этого ой как мала:

Стаття 617. Підстави звільнення від відповідальності за порушення зобов’язання

1. Особа, яка порушила зобов’язання, звільняється від відповідальності за порушення зобов’язання, якщо вона доведе, що це порушення сталося внаслідок випадку або непереборної сили.

Не вважається випадком, зокрема, недодержання своїх обов’язків контрагентом боржника, відсутність на ринку товарів, потрібних для виконання зобов’язання, відсутність у боржника необхідних коштів.

1. Если считать форс-мажором зашифрованные диски, то есть ли в ваших договорах с контрагентами условие о форс-мажоре и охватывает ли оно подобный случай? Я понимаю, вы сейчас уверены, что да. А ваш контрагент с вами согласен?
2. На месте ТПП при выдаче справки я бы проверял (а) у вас купленный софт, или есть ломаный (б) есть антивирус, файервол со свежими базами и (в) есть политика кибер-безопасности.
3. Если вы хотите назвать форс-мажором невозможность регистрации налоговых накладных, то я там выше писал о том, какую именно ответсвтенность ваш контрагент (Медок) несет за неработающий софт + вторая часть процитированной выше статьи.

(4) Ни в коем случае нельзя просить помощи от государства

Сперва Министерство финансов в своем фейсбуке заявило, что никто не виноват и всем все простят:

За несвоєчасну реєстрацію податкових накладних передбачені штрафні санкції. Ми розуміємо, що у випадку якщо така реєстрація не відбулася через вірус, то провини платника у цьому немає. На жаль, чинний Податковий кодекс не передбачає норми, які б позбавляли звільнення платника від відповідальності у такому випадку.

Саме тому ми працюємо над проектом змін до Податкового кодексу, який дозволяв би звільнення платників від штрафних санкцій за несвоєчасну реєстрацію податкових накладних, що були видані у відповідний період.

Минфин хочет внести изменения в Налоговый кодекс и освободить от штрафов по результатам вируса Petya.А (включая производные). Как я понял, по результатам каждой следующей кибер-атаки будет приниматься новый закон, которым будут прощать штрафы.

А давайте подумаем, что государство попросит у бизнеса взамен за прощенные штрафы?

Где-то в анналах Верховной Рады носятся проекты законов о кибербезопасности, где защита наших персональных данных станет просто фикцией. Вы уверены, что ДФС после этого прощения не захочет сертифицировать программное наше обеспечение? Я б на месте государства после такого прощения вообще бы запретил использовать любой софт, который не прошел сертификацию.

Сертификация софта. В пост индустриальную эру, ну вы понимаете, да? Если какая-то небольшая компания захочет сделать модуль подачи отчетности для Odoo, то придется пройти сертификацию прежде, чем начинать работать.

Киберполицию я бы наделил полномочиями проводить плановые и внеплановые проверки сертификации софта: она не будет кошмарить бизнес, а просто будат тщательно вас проверять. Как пожарники, или санэпидемстанция.

Итак, Минфин обнадежил наш колхоз. Всех спасут и всех защитят. Государство же умеет спасать и защищать, верно, да? Так что, что бы ты, Дима, тут ни писал, ты ничего не понимаешь и “ты точно юрист?”.

Сейчас цинично прозвучит, поэтому читайте на свой страх и риск: я рекомендую почти всем “зафиксировать убытки” от кибер атаки и не пытаться ни в уголовное дело заявляться как потерпевшим, ни справку о форс-мажоре в ТПП просить. Просто заплатите штраф по договору, если не сможете договориться с контрагентом на словах. Заплатите штраф в ДФС. И бросьте все силы, которые могли бы потратить на юристов, на подготовку к следующей кибератаке.

Видео-инструкция о том, как нужно звать адвоката, вот: