Используете софт для контроля активности персонала? СБУ идет к вам
Намедни эксперты рассказывали нашему изданию, что по обвинению в использовании якобы шпионского софта СБУ теоретически может нагрянуть с обыском практически в любую компанию. Законодательные критерии отнесения оборудования и ПО к специальным техническим средствам (СТС) негласного получения информации настолько размыты, что под них, при желании, могут подпадать даже трекеры для животных, мобильные телефоны, не говоря уже о ботах, собирающих открытую информацию в сети.
Недавно СБУ продемонстрировала кейс на практике. 26 апреля пресс-служба ведомства сообщила, что сотрудники СБУ провели обыски и изъяли компьютерную технику в восьми компаниях, которые использовали шпионское программное обеспечение со скрытыми функциями негласного доступа.
"В прошлом году правоохранители в рамках уголовного производства, открытого по ч. 2 ст. 359 Уголовного кодекса Украины, прекратили деятельность коммерческой структуры, которая незаконно реализовывала в Украине российское программное обеспечение», - поясняется в пресс-релизе начало истории.
Судя по данным единого госреестра судебных решений, речь об уголовном производстве №22016000000000281, в рамках которого в ноябре 2016-го были проведено несколько обысков, в том числе - у основателя «Смарт Контрол» и в компании «Інфобезпека ЛТД». Их обвиняли в продаже СТС негласного получения информации, к которым экспертиза СБУ отнесла программы контроля активности персонала - "Стахановец" и Mirobase. С помощью такого софта компании мониторят, какими ПО и приложениями сотрудник пользуется в рабочее время; сколько времени тратит на использование сети интернет в рабочих целях, а сколько – в личных; какая, куда и кому пересылается коммерческая информация; были ли удалены или отправлены важные файлы и не была ли база скопирована на «флешку» и т.п.
Выдержки из решения суда:
… незаконно розповсюджують через інтернет - сайти stakhanovets.ru, Mirobase.com спеціальне програмне забезпечення «Стахановець» та «Mirobase» виробництва Російської Федерації з ознаками спеціальних технічних засобів негласного отримання інформації, яке при інсталяції на ПЕОМ та смартфони дозволяє негласно отримувати інформацію з них без відома власника.
Згідно висновку експерта Українського науково - дослідного інституту спеціальної техніки та судових експертиз СБ України №62/3-419/2 від 11 жовтня 2016 року - технічні пристрої (сервер та клієнтські ноутбуки зі встановленим ПЗ «Стахановець») у комплексі з програмним забезпеченням «Стахановець», яке на них встановлене - відносяться до спеціальних технічних засобів отримання інформації.
Эксперты нам рассказали, что это ПО запрещено только в Украине (судя, по вышеприведенной выдержке из решения суда – с октября прошлого года). "На каком основании эксперты СБУ причислили его к СТС – неизвестно: их заключения засекречены даже для адвокатов обвиняемых покупателей", - на условиях анонимности сообщил нам один из них.
Возвращаемся к недавнему релизу СБУ: «Во время досудебного следствия оперативники спецслужбы установили несколько фирм, обществ и компаний, руководство которых сознательно закупило нелегальное ПО». Каким чудом компании - «шпионы» умудрялись покупать ПО уже после признания его СТС – в релизе не пояснено.
Как рассказал нам пожелавший остаться неназванным эксперт, получив клиентскую базу продавцов, СБУ пошла шерстить покупателей. В число «счастливчиков», видимо, попали инвестиционная компания Dragon Capital и «Укргаздобыча», в которых 26 апреля сотрудники СБУ провели обыски и изъяли компьютерную технику. Обеим компаниям инкриминируют незаконное использование программного обеспечения.
В пресс-службе СБУ нам не смогли подтвердить эту версию, как и ответить на другие уточняющие вопросы: «Тайна следствия».
Тогда как по сообщениям ряда СМИ, к числу восьми «шпионов» СБУ причисляет Dragon Capital. В инвесткомпании настаивают, что покупали все легально.
"Речь идет о незаконном использовании программного обеспечения. При этом компания легально и официально купила эту программу на рынке. У нас был «Стахановец». Уголовное производство открыто по 359 статье УКУ», - сообщила нам директор по маркетингу и коммуникациям Dragon Capital Ольга Белобловская.
Аналогичное заявление и от представителей Укргаздобычи: «Компания официально и легально закупила программное обеспечение через систему ProZorro».
Ходатайство о проведении обыска в Dragon Capital подавал старший следователь в ОВД 2 отделения 1 управления досудебного расследования Главного следственного управления СБУ майор юстиции Николай Петруля.
Согласовал ходатайство прокурор отдела процессуальным руководством и поддержкой гособвинения Генпрокуратуры Скрыпник О.М.
Определение суда на обыск подписал славно известный следственный судья Шевченковского районного суда Киева, заместитель главы суда Андрей Осаулов. Он же завизировал схожий документ на обыск в Youcontrol. По данным СМИ, ранее этот судья выпустил из СИЗО обвиняемого в педофилии экс-ректора Академии водного транспорта. После чего глава суда обратилась с представлением в Высший совет юстиции с просьбой уволить его. Но Осаулова, наоборот, повысили в должности. Также, по мнению СМИ, судья фигурировал в узаконивании крупной коррупционной аферы.
Почему с 2015-го компании занимались незаконным сбытом ПО, если оно причислено к нелегальным только в конце 2016-го - в документе не пояснено. Доказательства связи украинских продавцов с ФСБ тоже отсутствуют.
В определении суда сказано, что Dragon Capital приобрела 300 шт. лицензий у ООО "Стахановец ПО". Когда именно - не уточнено. В Dragon Capital говорят, в 2015-м.
В пресс-релизе СБУ говорится о восьми компаниях-покупателях. Вероятно, что в клиентской базе их гораздо больше. По какому принципу СБУ выбирает «жертв» - не известно. Одной из версий поделился Виталий Сыч, главред «Нового времени» (проекта, принадлежащего Dragon Capital):
- Настоящая причина наезда, уверен, в противостоянии между гендиректором Dragon Capital Томашом Фиалой (он же президент Европейской Бизнес Ассоциации), с одной стороны, и осью Кононенко-Грановский-Адамовский, с другой.
Для тех, кто не знает: несколько лет назад Фиала и его партнер эстонец Тедер выиграли дело в Лондонском суде у Адамовского, партнера и друга депутата от БПП Грановского. Согласно решению суда, Адамовский должен был уступить свою долю в ТРЦ Sky Mall Фиале и его партнеру по заранее оговоренной цене. Сделать это Адамовский отказался.Более того, в нарушение решения суда активы компании (а они были заморожены в Минюсте, согласно решению суда) были переведены на банк «Пивденный», что лишило Фиалу какого-либо участия в компании. Фиала опять подал в суд, и новое решение лондонского суда гласило, что Адамовский должен уже бесплатно уступить свою долю в Sky Mall Фиале и его партнеру, потому что упущенная выгода за эти годы уже превышает стоимость его доли. Но Адамовский и Ко не признают решений лондонского суда. Зато с тех пор у Фиалы появились регулярные проблемы с правоохранителями и налоговыми органами. Президент Эстонии даже поднимал этот вопрос во время своего визита в Киев, но безрезультатно.
Более того, недавно наш журнал взял интервью у эстонца Тедера, партнера Фиалы, где тот рассказал свою сторону конфликта вокруг Sky Mall. В результате Адамовский подал в суд на 3 млн дол на Тедера, Фиалу, Dragon Capitalи нас. В суде первой инстанции мы дело выиграли. Адамовский подал апелляцию, теперь дело в Апелляционном суде.
Дальше - больше
По мнению экспертов, это лишь вершина айсберга. После недавнего прецедента - приговора суда за продажу софта для контроля активности персонала – у СБУ появился повод шерстить всех подряд. В конце марта 2017-го заместитель главы Шевченковского районного суда Киева, судья Виталий Цыктич вынес обвинительный приговор сотруднику «Софтлайнгруп Украина».
В решении суда описана увлекательнейшая история. В сентябре 2016 подставной покупатель – «физическое лицо, которое действовало от имени субъекта предпринимательской деятельности в рамках негласной следственного действия контроля рл совершению преступления в форме оперативной закупки» (проще говоря, сотрудник СБУ) – заказал «программное обеспечение, предназначенное для контроля работодателя над наемными работниками».
Далее «красной нитью» по всему решению суда говорится о незаконном сбыте СТС. Хотя эксперты СБУ отнесли приобретенный софт и оборудование к СТС только в феврале 2017-го. Эта временная нестыковка почему-то не смутила судью Цыктича.
… Відповідно до висновку експерта Українського науково-дослідного інституту спеціальної техніки і судових експертиз СБ України від 22.02.2017 надані на дослідження один серверний ноутбук та три клієнтських ноутбуки у комплексі з встановленим на них програмним забезпеченням, а також власне програмне забезпечення (його установчі файли) відносяться до спеціальних технічних засобів негласного отримання інформації. Встановлене програмне забезпечення дозволяє отримувати прихований доступ до даних, які зберігаються на електронних носіях інформації, за умови їх мережевого з'єднання з серверним ноутбуком і не ставить до відома користувачів про факт передачі інформації на інші технічні пристрої чи зовнішню ІР - адресу. Даний програмний продукт дозволяє приховано знімати фото-зображення з екрану, фото-, відео-зображення з веб - камери, отримувати списки активних процесів та вікон користувача, аудіо інформацію з мікрофону, історію відвідування веб-ресурсів, натискання клавіш на клавіатурі, даних з буферу обміну, голосові та текстові повідомлення в програмі «Skype», факти копіювання, видалення файлів та ін.
Далее продавец чистосердечно признал свою вину (видимо, в том, что в сентябре 2016-го он не знал, что в феврале 2017-го ПО признают СТС). В начале марта заключил соглашение с прокурором отдела Генпрокуратури Скрыпником О.М.
.. Відповідно до угоди обвинувачений беззастережно визнав свою вину у вчиненні за викладених у цьому вироку обставин інкримінованого йому злочину, щиро розкаявся, зобов'язався співпрацювати з правоохоронними органами у викритті інших осіб у вчиненні вказаного кримінального правопорушення.
Сделка со следствием позволила продавцу отделаться штрафом в 51 тыс грн (ответственность по ч.2 ст. 359 УКУ - лишение свободы на срок от четырех до семи лет).
Главная опасность приговора в том, что в документе не указано конкретное ПО. Просто говорится о некоем софте, предназначенном для контроля работодателя над наемными работниками. Лишь однажды для пояснения упоминается "так называемый Босс-контроль". Т.е., по сути, этим приговором все ПО контроля активности персонала могут оказаться за рамками закона.
Денис Овчаров, адвокат-партнер «Юскутум»:
- Насколько мне известно, уже прошло более пяти обысков в компаниях, занимавшихся разработкой, поддержкой и продажей программного обеспечения, которое помогает мониторить действия персонала. На постсоветском пространстве такое ПО не запрещено. В Украине до недавнего времени оно тоже было законным, не было никаких претензий от правоохранительных органов. Тем более что программное обеспечение было сертифицировано Госспецсвязи. Однако СБУ посчитала его шпионским.
Обыски закончились тем, что одна из компаний пошла на сделку со следствием: подписала соглашение о признании своей вины, взамен отделалась штрафом. В марте этого года суд вынес приговор должностному лицу этой компании. Считаю, что таким образом компания фактически подставила весь рынок разработки и продажи такого ПО. СБУ получила прецедент, который позволил нагрянуть с обыском и к клиентам разработчиков, в том числе к Dragon Capital и «Укргаздобыче». Скорее всего, далее сотрудники ведомства будут посещать и другие компании, которые используют это ПО. Ведь основания привлечения по статье 359 УКУ – экспертиза СБУ, к которой никто не имеет доступа и не может ее обжаловать.
Экс-сотрудник СБУ:
- Шпионское ПО действительно существует: любой телефон можно превратить в подслушивающе-следящее устройство. Так же, как и компьютер может работать против хозяина. Но таким же образом любую, например, банковскую/финансовую DLP систему, внедрение которой является критерием сертификации PCI DSS и приветствуется НБУ, можно отнести к «шпионскому» ПО. Работодатель всегда заинтересован и имеет право ограничивать работников в доступе к социальным сетям и развлекательным сайтам в рабочее время, поскольку оплачивает рабочее время и жизненно заинтересован в защите от утечек коммерческой тайны и другой конфиденциальной информации.
Но, действительно, российские производители преуспели в таком ПО "обеспечения безопасности", поскольку их законодательство не работает в сфере защиты прав человека. Более того, недокументированные функции такого ПО дистанционно используются российскими спецслужбами. При чем "российскость" производителя не всегда можно определить сразу, ведь такое ПО может продаваться от имени австрийской, бельгийской, болгарской, британской, белорусской компании и иметь пафосное название, совершенно не связанное с русским языком. Т.е. вменяемого руководству компании умысла может и не быть.
А в отношении "нашей родной" СБУ с большой вероятностью можно утверждать, что такой обыск являлся поиском хоть какой-нибудь зацепки для организации давления на руководство компании. А целью вполне может быть только шантаж - для получения каких-либо, пусть даже надуманных, но убедительных доказательств "схемы", рожденной в умах набивающих показатели оперов. Однако не стоит исключать и версию обратную, хотя не могу представить, ЧТО кроме коммерческой информации, могла защищать организация с помощью такого ПО.
Николай Крылов, телеком-юрист:
- В связи с прецедентом возникают вопросы, что и как имеет право контролировать работодатель. Поэтому важна доработка критериев, по которым эксперты СБУ устанавливают принадлежность технических, аппаратно-программных, программных и других средств к СТС для негласного получения информации. Сейчас они в постановлении Кабмина от 22. 09. 2016 № 669 крайне размыты. Также нужна открытая и прозрачная методика отнесения к СТС, чтобы каждый потенциальный разработчик ПО мог понять, что он не имеет право производить. И, конечно же, не помешает публичный реестр запрещенных программ. Из него покупатели софта могли бы узнать, что и когда СБУ отнесла к СТС.
Ныне, де-юре, разработчики должны получать документ в СБУ о том, что их продукт не является СТС.
Получается, что, например, производители мобильных телефонов, которые могут использоваться для негласного получения информации, тоже должны получать справки СБУ?
- Теоритически - да. Поэтому повторюсь: очень важно конкретизировать критерии. Иначе к шпионам будут причислять все, что угодно. Скажем, программы в телефоне для выяснения местонахождения ребенка.
Ирония в том, что госорганы обязаны использовать такое ПО. Например, для защиты от периодических утечек из базы ГФС (проще говоря, софт контролирует, кто из сотрудников пытается копировать конфиденциальную информацию). Теперь же, видимо, преграды для честных на руку налоговиков и реальных шпионов могут быть сняты. В то же время, компании, пресекавшие утечки своей конфиденциальной информации, станут опасаться устанавливать такой софт. А украинские разработчики аналогичного ПО могут паковать чемоданы.