Когда милиция прекратит изымать сервера «на всякий случай»?

Изъятие серверов давно стало "народной забавой" отечественных правоохранителей.

InternetUA писал об выемке оборудования файлообменника ex.ua, интернет-магазина Rozetka, компаний WebMoney, «Дата-Айикс Юей». На серверах последней находился контент соцсети «Вконтакте». Список можно продолжать еще долго.

Правоохранители не желают признавать, что в 90% случаев для проведения следствия достаточно копирования информации. Лишь изредка действительно необходимо изъятие оборудования. «Не закрывают же станцию метро на несколько месяцев, если на ней совершены кража или убийство. Никому не приходит в голову тащить в суд автомобиль после ДТП. А изымать сервера почему-то до сих пор считается логичным, хотя как при любом другом преступлении достаточно зафиксировать информацию», - шутят опрошенные InternetUA эксперты.

«Забывать» о логике и поступать по собственному усмотрению правоохранителям позволяет брешь в законодательстве. Согласно действующему УПК, имея на руках разрешение суда, следователь вправе изымать все вероятные доказательства по расследуемому делу. Какие из этих улик необходимы для проведения следствия, а какие не нужны вовсе (но могут иметь взятковымогательную составляющую), установить на начальном этапе несложно. Зато крайне затруднительно оперативно провести экспертизу изъятого имущества. Тем более что в законодательстве не прописаны сроки его возврата собственнику.

Пока бизнес нашел единственный способ обезопасить себя от экспериментов правоохранителей – вывозитть сервера за рубеж. Теперь на их обслуживании зарабатывают иностранные дата-центры, которые платят налоги не в украинский госбюджет.

В преддверие выборов в Верховную Раду мы поинтересовались у экспертов и участников рынка, какие изменения нужно внести в УПК и другие законы и нормативные акты для реального решения проблемы традиционного изъятия серверов. Надеемся, что новый состав ВР прислушается к их мнению.

Вопрос №1

- Почему проблема до сих пор актуальна? 

Артем Афян, управляющий партнер АО «Юскутум», представлял интересы EX.ua в деле об изъятии серверов:

- Сегодня бизнес во многом зависит от своей информационной составляющей: базы данных, программного обеспечения, хранилища данных. Поэтому изъятие компьютеров даже на день способно поставить на колени практически любую компанию. Изъятие оборудования на стадии досудебного следствия стало безотказным механизмом давления на бизнес. Это может сделать любой следователь, фактически, не объясняя мотивов, и не неся ответственности за последующий ущерб.

Татьяна Попова, глава Правления ИнАУ:

- Если не рассматривать заказ конкурентов, у проблемы есть две составляющие. Первая: очень часто у представителей правоохранительных органов отсутствуют необходимые компетенции и понимание, к чему приводит подобное варварское отношение к оборудованию.

Вторая составляющая проблемы: желание контролировать распространение информации. К сожалению, наши государственные мужи стали понимать, какое важное значение имеет слово, сказанное в Сети.

Олег Гусев, заместитель председателя комиссии УСПП по вопросам науки и IT:

 - Эта проблема была всегда. Особенно актуальной она стала после внесения в УПК положений о проведении негласных следственных действий и мероприятий.

С одной стороны появились механизмы влияния на инакомыслящих, с другой стороны – механизмы «отжима» бизнеса.

Несмотря на «уход» старой власти, эти механизмы работают и сегодня. Информацию о них мы видим в СМИ практически еженедельно.

Дмитрий Майданник, начальник отдела юридической безопасности бизнеса компании «ВОЛЯ»:

- Широкое распространение Интернета и внедрение компьютерных технологий во все сферы жизни повлекло за собой и динамичное развитие компьютерных преступлений. Количественные показатели этих преступлений стремительно растут, появляются новые их виды. Сейчас уже никого не удивляет информация о взломе или хищении паролей, распространении через Интернет как вредоносных вирусов, так и противоправной информации (клеветы, материалов порнографического характера, публикаций, возбуждающих межнациональную и межрелигиозную вражду и т.п.). Новости о кражах номеров кредитных карточек и других данных тоже стали привычными.

Одним из наиболее опасных и распространенных преступлений, совершаемых с помощью сети, является мошенничество. Проследить информацию о действиях преступников можно, используя оборудование провайдеров. Поэтому проблема его изъятия в процессе следствия стоит достаточно остро.

Вопрос №2

- Весной этого года группа депутатов зарегистрировала законопроект № 4567. В частности, предлагалось дополнить ст. 159 УПК следующей формулировкой: «Временный доступ к информации в электронных информационных системах или ее частей, мобильных терминалах систем связи осуществляется путем снятия копии такой информации». И в ст. 168 внести изменение: «Временное изъятие электронных информационных систем… осуществляется в случае, если они входят в перечень, по которому предоставлено… постановление о разрешении на проведение обыска…». Принятие этого документа могло бы решить проблему изъятия серверов?

Дмитрий Майданник: Да, конечно. Изъятие серверов провайдеров Интернета, операторов мобильной связи нарушает нормальную работу по предоставлению услуг. Изъятие оборудования - это неоправданная мера. Если нужно провести экспертизу, то эксперт может выгрузить все содержимое с сервера и работать в лаборатории. Не закрывают же станцию метро на несколько недель или месяцев, если на ней совершены кража или убийство! Нам же приходится месяцами ждать, когда вернут оборудование.

Артем Афян: Еще полтора года назад мы начали говорить о необходимости подобного рода изменений. Первоначальный вариант законопроекта был разработан нами. Поэтому с удовольствием смогу объяснить, в чем его суть. Поскольку следствие чаще всего интересует информация, то следователю совершенно необязательно хранить у себя ящики с компьютерами, ноутбуками и серверами. Ему достаточно скопировать информацию для анализа. Как показала практика, в большинстве случаев изъятия техники, дело не доходило до суда. Даже экспертиза не проводилась. Поэтому мы можем утверждать практическую неэффективность изъятия физических носителей.

Олег Гусев: Принятие этого законопроекта частично будет способствовать решению проблемы. Но государству и обществу  нужно приложить еще много усилий, чтобы изменить само отношение людей и чиновников к праву, правам и свободам человека в нашей стране.

Вопрос №3

- Какие изменения, на Ваш взгляд, нужно внести в УПК и другие нормативные акты для реального решения проблемы?

Олег Гусев: Нужны изменения в механизмах проведения негласных следственных действий. В частности, действий, связанных со снятием информации с транспортных телекоммуникационных сетей, установлением местонахождения радиоэлектронного средства, осмотра и выемки корреспонденции, снятие информации с электронных информационных систем и их изъятия.

Артем Афян: Есть связанные проблемы, а именно возврат имущества. На сегодняшний день картина судебной практики улучшилась, но все еще не закрыт вопрос четких правил изъятия, возврата и ответственности следователя. Законопроект №4567 снимает конкретную проблему, но реформировать нужно всю систему правоохранительных органов.

Дмитрий Майданник: Полномочия следственных органов по изъятию оборудования ничем не ограничены. Для решения вопроса, а нужно ли его вообще изымать, необходимы специальные знания в области компьютерных технологий. Не секрет, что злоумышленники запускают специальные программы, которые стирают следы вторжения в компьютерную систему. Поэтому изымать оборудование нет никакого смысла. На мой взгляд, нужно принять нормативный документ, регламентирующий порядок изъятия и скорейшего возвращения оборудования, которое использует программное обеспечение или хранит информацию. В любом случае провайдер не должен страдать из-за того, что кто-то, используя его оборудование, совершил преступление.

 Максим Тульев, директор компании "НетАссист":

- Наверное, многие слышали об «итальянской забастовке»: люди начинают исполнять свои обязанности строго по правилам. В итоге работа компании практически останавливается. Вопрос не в том, какие законы нужны, а в правильном применении этих законов. Нужно менять саму мотивацию служивых. Есть правонарушение – значит нужно максимально безболезненно для всего бизнеса провести следствие. Сейчас, как мне кажется, такая задача у правоохранителей вообще не стоит. Удобно вынести всю стойку с серверами – не задумываясь выносим. Пострадает еще 500 законопослушных клиентов – «ну что поделаешь». Никакой ответственности за это правоохранители не несут. Интересен опыт Германии. Там есть четкий ограничения на изъятие сервера официально зарегистрированного СМИ. Чтобы снять сервер, нужно разрешение федерального судьи. Поэтому какие-либо манипуляции и беспредел с серверами СМИ в Германии сильно усложнены.

Вопрос №4

- Достаточно ли копирования информации с серверов для проведения расследования и передачи дела в суд?

Артем Афян: Абсолютно достаточно. Если мы стали свидетелем ДТП, достаточно ведь сфотографировать место происшествия. Никому не приходит в голову тащить машину в суд. Точно также совершенно не нужно изымать «машину», а достаточно зафиксировать информацию и на этой базе продолжать следствие.

Тарас Данько, начальник службы информационной безопасности компании «ВОЛЯ»:

- В подавляющем большинстве случаев этого достаточно. С целью сохранения всех особенностей исследуемой системы обычно выполняется процедура её так называемого полного одностороннего клонирования без внесения изменений в оригинальные файлы. Полученный образ затем можно размножить и передать на анализ одновременно нескольким экспертам, развернуть в лабораторном окружении, либо поместить в "архив" для дальнейшего хранения в течение неограниченного времени. Такая процедура малозаметна для владельца сервера-нарушителя, и может выполняться на любом этапе расследования, в то время как изъятие оборудования - это однозначный сигнал его владельцу от правоохранительных органов, после которого дальнейший сбор доказательств, как правило, сильно затруднен.

Кроме того, во многих современных дата-центрах применяется технология виртуализации, при которой каждый физический сервер может совместно использоваться десятками клиентов, а т.н. клиентские "виртуальные машины" не имеют четкой привязки к оборудованию, и могут свободно перемещаться между физическими серверами и даже между территориально разнесенными серверными площадками. В этом случае изъятие серверов с целью расследования теряет свой смысл.

Максим Тульев: Чтобы провести следственные действия, действительно, бывает необходима экспертиза. Но часто изъятие серверов, на мой взгляд, используют как инструмент давления. В теории экспертиза должна начаться сразу после выявления нарушения, изъятия сервера. Но на практике, она может начаться через год-полтора и растянуться еще на годы.

Максим Литвинов, экс-начальник Управления по борьбе с киберпреступностью МВД Украины:

- Копирования информации недостаточно, когда доказательством могут стать артефакты. Например, требующие восстановления удаленные файлы, временные метки о записи и стирании информации. Операционные системы содержат множество артефактов. Причем, многие из них касаются именно физического носителя. А эту информацию может извлечь только эксперт при помощи специализированных средств и в лабораторных условиях. Почему экспертиза порой растягивается на годы? К сожалению, у нас очень мало квалифицированных экспертов. Нет, эту проблему нелегко решить. Она требует бюджетного финансирования для увеличения количества экспертов и их зарплат. Сегодня это неактуально. Мы идем по пути сокращения.

Вопрос №5

- В одном из своих интервью экс-начальник Управления по борьбе с киберпреступностью МВД Украины Максим Литвинов подчеркнул: «Мы наладили методику копирования информации с сервера, и та информация, которая нас интересует в качестве доказательств, берется в копии, так и предоставляется в суд. Иногда это технологически сложно сделать». В чем заключается сложность?

Артем Афян: Мы много работали по этому законопроекту с господином Литвиновым. Здесь хочется отметить его высокую компетенцию и способность видеть новые веянья. При нем, в частности, в МВД было принято оборудование из США, позволяющее должным образом копировать большие объемы данных. Сложность касается дата-центров, там идут петабайты информации и ее нужно где-то хранить, а это не флэшки, и не сотни флэшек. Для этого нужно иметь дорогостоящее оборудование. Но это  преодолимая проблема.

Тарас Данько: При расследовании инцидентов информационной безопасности дополнительную технологическую сложность может создать либо нестандартность или уникальность аппаратного обеспечения исследуемой системы (что редко встречается в обычных дата-центрах), либо применение механизмов криптографии (в этом случае изъятие сервера ничем не лучше его клонирования).

Вопрос №6

- По словам Литвинова, «обойтись без изъятия серверов невозможно, если сам провайдер распространяет незаконный контент». Зачем в данном случае изымать сервера?

Артем Афян: Важно различать. Многие относятся к изъятию серверов как к наказанию, но делают это на стадии досудебного следствия. Изъятие серверов допустимо как мера ответственности, когда доказана вина, но недопустима как форма сбора доказательств.

Олег Гусев: Согласно законодательству, провайдер не отвечает за содержание информации, которая передается его сетями.

Дмитрий Майданник: На мой взгляд, доказать распространение провайдером незаконного контента можно путем документирования факта получения последнего - ничего изымать не нужно.

Вопрос №7

- Имеют ли право юридические и физические лица обратиться в суд с требованием возместить им материальный ущерб, нанесенный изъятием серверов? Были ли такие случаи в практике Украины, других стран? Какое решение вынес суд?

Артем Афян: Наша судебная система все еще весьма зависима от мнения центральной исполнительной власти. Поэтому украинское правосудие не может похвастаться большими суммами компенсаций от незаконных действий следователя. Любое судебное решение против бюджета, да еще и против милиции, дается огромным трудом. Да и многие клиенты, едва вернув оборудование, спешат закрыть для себя этот вопрос и не раздувать конфликт с государством.

Дмитрий Майданник: В данном случае следует уточнить, было ли изъятие серверов незаконным. Если да, то, конечно, можно обратиться в суд с требованием возместить материальный ущерб. Но следователи, как и судьи, являются составной частью единой государственной машины. И если они идут на незаконное изъятие серверов, то можно быть уверенным, что в суде найти правду не удастся.

Вопрос №8

- Каким госструктурам невыгодно внесение изменений в действующее законодательство, регламентирующее изъятие имущества? 

Артем Афян: Конечно же, следственным органам. При тех полномочиях, которые они имеют сейчас, им не нужно оружие, чтобы «кошмарить» бизнес. Они прекрасно справляются голым уголовно-процессуальным кодексом.

Олег Гусев: Всем, кто хочет заработать денег на таких действиях.

Дмитрий Майданник: Конечно, следственным органам выгодно работать по документу, который предоставляет широкие полномочия и не требует обоснования законности выемки. Обратите внимание, что санкцию на выемку дает суд. При этом очевидно, что судья не обладает необходимыми знаниями для решения вопроса, нужна ли выемка компьютера или сервера. А назначает ли судья экспертизу или же пользуется мнением эксперта? Неизвестно.

Вопрос №9

- Стоит ли рассчитывать, что новый состав Верховной Рады захочет услышать предложения представителей ИКТ по данной теме?

Татьяна Попова: Безусловно, состав ВР будет другим. Но, к сожалению, место сидения определят точку зрения. Я неоднократно наблюдала, как менялись люди в зависимости от того, с какой стороны баррикад они находились. Думаю, представители нынешней власти совершили стратегическую ошибку после выборов в Киевсовет. Тогда были зафиксированы случаи фальсификации выборов. Но никого за нарушения не наказали. Это говорит только о том, что выборными манипуляциями занимались все. Иначе было бы несколько показательных судебных разбирательств. Они бы стали хорошим уроком, "дамокловым мечом" для тех, кто на выборах в ВР будет отвечать за подсчет голосов.  

Но пока нарушения продолжаются. Например, слышала, что сейчас один из депутатов предлагает баллотирующимся в ВР коллегам продать свою «базу избирателей», насчитывающую 30-50 тыс. голосов, за сумму с шестью нулями в долларовом выражении. Считаю это цинизмом высшей пробы.

Я не увидела за 100 с лишним дней, которые Президент у власти, каких-то радикальных, даже минимальных изменений. Бизнесу работать легче не стало. Есть определенное оправдание: война. Тем не менее, кредит доверия населения падает. Нет реальных реформ, изменений в госполитике. Зато в списках многих партий есть фамилии, которые подлежат люстрации, не говоря уже о детях, кумовьях и прочих. Поэтому сложно прогнозировать, насколько эффективно будет работать новый состав ВР.

Олег Гусев: По Диогену - надежда умирает последней.

Дмитрий Майданник: Думаю, что в ближайшее время будут внедряться европейские стандарты в области защиты компьютерных и информационных систем.

Артем Афян: Сдерживание произвола правоохранительной системы – один из самых серьезных запросов общества. И ограничение изъятия носителей информации – его логическая часть. От нового состава ВР ждут этих реформ. Было бы крайне глупо со стороны политиков обмаунть эти ожидания.