Новым поводом для визитов силовиков в ИТ-компании может стать использование последними простейшего софта для мониторинга и сбора информации в интернете. У служивых нет на то юридических оснований, возразите вы. Мы тоже так думали, пока эксперты не проанализировали детали нашумевших обысков в Youcontrol.

Следите за руками. Сразу после обысков пресс-служба СБУ сообщила: «Правоохоронці встановили, що ділки, використовуючи спеціальне програмне забезпечення, протиправно втручалися в роботу автоматизованих систем та комп’ютерних мереж державних структур. Фахівці СБ України зафіксували копіювання зловмисниками інформації, зокрема з систем та мереж Міністерства юстиції, фіскальної служби та Державної судової адміністрації України». 

Описанное, по данным юристов, подпадает под статью 361 УК – незаконное вмешательство в работу электронно-вычислительных машин, систем и компьютерных сетей. 

В пресс-релизе же говорится, что УП открыто совершенно по другой статье - ч. 2 ст. 359 УК «Незаконные приобретение, сбыт или использование специальных технических средств получения информации».

Аналогичная нестыковка - и в определении суда на обыск.

Фактическая ошибка в разъяснении причин визитов СБУ до сих пор не исправлена.

По мнению пожелавшего остаться неназванным эксперта, эта "маленькая" неточность - не халатность отдельных сотрудников пресс-службы и/или следователя, а отличная пиар-кампания по монополизации рынка данных карманными структурами СБУ. Его аргументация:

 - Изначально закрытой информацией торговали люди, имеющие к ней регулярный доступ. После того, как государство открыло для публичного доступа ряд своих реестров и частный бизнес начал активно применять программы для сбора и обработки больших объемов данных - доходы этих карманных фирм стали снижаться. Самое простое решение проблемы - публичная порка конкурента. Причем, думаю, не случайно, на роль жертвы был отобран конкурент, который преимущественно продавал открытые данные. Поясню детально.

В статье 359 УК говорится о незаконном использовании специальных технических средств получения информации (СТС). Их законодательное определение очень размыто: это технические, программные средства, оборудование, аппаратура, приборы, устройства, препараты и другие изделия, предназначенные (специально разработанные, изготовленные, запрограммированные, приспособленные) для негласного получения информации. Под него, при желании, могут подпадать даже обычные мобильные телефоны, не говоря уже о простейших ботах, которые собирают открытую  информацию в сети. 

Т.е. по итогам, получаем, что СБУ провела отличную бесплатную пиар-кампанию. Через СМИ и соцсети, бизнесу между строк явно дали понять:

 – использование ПО для сбора информации мы можем трактовать как незаконную деятельность;

- в любое время по статье 359 мы можем прийти в любую телеком, рекламную, екоммерс, исследовательскую компанию, финучреждения, СМИ и т.п., которые теоретически могут использовать софт для сбора информации (готовьте откупные);

- отечественные производители таких ПО, стартапы на их основе и в целом вся динамично растущая в мире отрасль BigData, по нашему усмотрению, может быть объявленной вне закона;

- все клиенты компаний, покупающие данные, полученные при помощи такого ПО, тоже могут стать соучастниками, подозреваемыми в преступлении;

– мы понимаем, что спрос на данные не исчезнет, наоборот, он динамично растет, ныне, почти все не мелкие компании страны, которые изучают активность конкурентов, проверяют контрагентов, партнеров, заказчиков нуждаются в регулярном получении такой информации (особенно в условиях войны). Предлагаем обращаться за услугами в проверенные, надежные структуры, к которым не нагрянут с обысками.

А если бы УП было открыто по 361 статье, сразу бы возникли вопросы к ГФС, Минюсту и т.п.: почему данные с ограниченным доступом не были защищены, как закрытые сведения оказались в сети Интернет и т.п. Сотрудники этих ведомств стали бы одними из вероятных подозреваемых. При проведении объективного расследования, вероятно, были бы выявлены регулярные утечки информации из закрытых баз данных той же ГФС. Думаю, не стоит пояснять, кому такое расследование не выгодно.

Ходотайство о проведении обысков в Youcontrol подавал старший следователь в ОВС 4 отделения 1 управления досудебного расследования Главного следственного управления СБУ майор юстиции Денис Мазурков.

Согласовал ходотайство прокурор отдела процессуального руководства Генпрокуратуры Белый С.В.

Несоответсвие инкриминируемой статьи сути обвинений не пожелал заметить следственный судья Шевченковского районного суда Киева, заместитель главы суда Андрей Осаулов, подписавший определения суда на обыск. По данным СМИ, ранее этот судья  выпустив из СИЗО обвиняемого в педофилии экс-ректора Академии водного транспорта. После чего глава суда обратилась с представлением в Высший совет юстиции с просьбой уволить его. Но Осаулова, наоборот, повысили в должности. Также, по мнению СМИ, судья фигурировал в узаконивании крупной коррупционной аферы.

Насколько реальны озвученные спикером угрозы? Действительно ли 359 статья может стать новым поводом для визитов правоохранителей в ИТ-компании? Может ли, к примеру, простой бот, собирающий открытые данные в сети, рассматриваться как СТС негласного получения информации? Эти вопросы мы направили юристам и разбирающимся в этой сфере экспертам.

Получили разноплановые мнения.

Николай Крылов, телеком-юрист:

- Правовая система в Украине построена на принципе: можно все, что не запрещено. Об этом говорится в 19 статье Конституции.  Закон «О доступе к публичной информации» не запрещает использование софта для сбора данных. Да, деятельность ботов может увеличить нагрузку на сервер, затраты на содержание реестров. Но, повторюсь, она не запрещена.

Однако эти не запрещенные программы могут рассматриваться как СТС.  Согласно постановлению Кабмина от 22. 09. 2016 № 669 , есть только два размытых критерия, по которым эксперты устанавливают принадлежность технических, аппаратно-программных, программных и других средств к СТС для негласного получения информации. Это «предназначенность средств для применения скрытым образом, характерным для оперативно-розыскной, контрразведывательной или разведывательной деятельности» и «пригодность средств для негласного получения информации».

В постановлении уточнено: изделия отраслевого и бытового использования, пригодные для негласного получения информации, но не предназначенные для применения скрытым образом…. не относятся к СТС.

Под эти определения  теоретически подпадает любое устройство,  даже трекеры для животных,  так как благодаря им можно конспиративно, негласно, скрытно  фиксировать информацию.

Поэтому в конечном итоге все будет зависеть от эксперта. Если он отнесет устройство к СТС – можно применять 359 статью. А эксперт работает в СБУ.

СБУ сообщает, что более 400 дел по 359 статье доведено до суда. Думаю, большинство из них касались обычных граждан, которые заказали в Китае какую-нибудь шпионскую ручку или брелок для забавы. Я как-то мониторил (вручную!) реестр судебных решений, нашел только раскрытие таких «серьезнейших нарушений».  И не увидел ни одного решения по действительно важным преступлениям, которые нужно расследовать,  – использование СТС для снятия информации с сетей операторов, перехвата почты и т.п.

Что нужно изменить в законодательном поле, чтобы исключить возможность необоснованных наездов силовиков? Считаю, стоит или вообще исключить 359 статью из УК, или максимально четко выписать критерии, по которым относят к СТС.

Потому что на основании 359 статьи СБУ может прийти в любою ИТ-компанию, например, к агрегатору, который использует бота для сбора новостей, данных интернет-магазинов  и т.п.  В конечном итоге все сайты переедут за рубеж. Регистрировать их будут также за границей, а в Украине их будет не достать, данные WHOIS будут скрыты. И все. А в нашей стране останутся лишь провода, сервера госорганов и ноутбуки пользователей.

Специалист по информационной безопасности, пожелавший остаться неназванным:

- Действительно, коллизия в заявлении СБУ присутствует. По официальному сообщению ведомства, «деятели противоправно вмешивались в работу автоматизированных систем и компьютерных сетей государственных структур», «зафиксировано копирование злоумышленниками информации» (видимо, вследствие вышеуказанного вмешательства). Это ст.361 УК. В то же время основная квалификация – незаконное использование СТЗ (ч.2 ст 359 УК – скорее всего, существенный ущерб охраняемым законом государственным интересам).

Многие знают о том, что правоохранительные органы в ходе проведения санкционированных  негласных мероприятий могут использовать (используют) специальные технические средства негласного получения информации. Не знают только, как, где и когда.  Как-то была публикация о том, что Youcontrol для получения информации использует неких роботов, не указывалось только, как, где и когда компания их применяет. В соответствии с Законом Украины «О доступе к публичной информации»,  «будь-яка особа може вільно копіювати, публікувати, поширювати, використовувати, у тому числі в комерційних цілях, у поєднанні з іншою інформацією або шляхом включення до складу власного продукту, публічну інформацію у формі відкритих даних з обов’язковим посиланням на джерело отримання такої інформації.» В Украине для удовлетворения потребностей  «будь-якої особи» (в том числе и фигуранта) был создан государственный портал открытых данных.

Однако, как видится, портала и определенного законодательством способа использования в коммерческих целях открытых данных компании оказалось мало, и она пошла дальше. И для этого применила неких роботов для прямого доступа к госресурсам под видом обычного пользователя, которому государством предоставлена возможность бесплатного удовлетворения его информационных потребностей. Думаю, это несколько неверный путь. Определенная «хитринка» в действиях фигуранта, на мой взгляд, есть. Не берусь обсуждать технические возможности упомянутых роботов в части получения информации, но, видимо, что-то позволило специалистам отнести их к СТС.

- Вы имеете ввиду, что если пользователь вручную ищет информацию в открытых реестрах - ничего не нарушает, а если запускает программу для сбора инфы - то это ПО может квалифицироваться как СТС? 

 - А вы как думаете? Нагрузка на систему при поиске информации пользователем и роботом отличается. При этом,  для пользователя существует интерфейс доступа. Например, согласно правил, установленных в Едином государственном реестре юрлиц и физлиц-предпринимателей:

•             з метою захисту ЄДР, перед кожним пошуком необхідно підтверджувати, що з системою працює людина за допомогою спеціального тесту системи reCAPTCHA;

•             захист за методом reCAPTCHA має функції для використання особами з вадами зору;

•             кількість сторінок, що відкриваються з кожної IP-адреси за певний проміжок часу та максимальна кількість результатів пошуку обмежена, що обумовлено запобіганням перевантаження бази даних ЄДР запитами.

Кроме того, мы не знаем технических свойств робота. А может там много дополнительных «интересных» функций.

Отмечу также, что неизвестно, предлагал ли  Youcontrol своим пользователям информацию с ограниченным доступом, добытую в государственных реестрах.

Так или иначе, но если компания при сборе информации придерживается установленных законодательством  правил, вероятность визита к ней правоохранителей невелика. А если и появятся «гости», то  уж точно не по поводу законности получения данных.

Специалист по СТС негласного получения информации, пожелавший остаться неназванным:

- Если бы УП открыли по 361 статье, следователям пришлось бы  ехать к носителям информации (в Минюст, ГФС и так далее), а это им, видимо, не интересно. Понятно, что 359 статья никоим боком не подходит, и это ляп СБУ.  Но атаку проводил ДКИБ СБУ, а 359 статья - это их инструмент кормления. 

Может ли простой бот, собирающий открытые данные в сети, рассматриваться как СТС негласного получения информации? Судите сами. Экспертизой монопольно занимается Научно-исследовательский институт специальной техники и судебных экспертиз СБУ, который находится под одним руководством с наезжающими. Во-первых, это противоречит ст. 4 Закона Украины «О судебной экспертизе». Согласно которой независимость судебного эксперта и правильность его заключения обеспечиваются «существованием учреждений судебных экспертиз, независимых от органов, осуществляющих оперативно-розыскную деятельность, органов досудебного расследования и суда». Во-вторых, нарушается гарантированное право каждой из сторон УП подать экспертное заключение (ч.2  ст.101 УПКУ). В-третьих, методика отнесения к СТС засекречена СБУ. Т.е. что такое СТС - граждане не имеют возможности знать. Четвертое, согласно закона о лицензировании, СБУ еще год назад обязано было опубликовать список запрещенных к ввозу в Украину СТС - они этого не сделали. 

Тем временем, согласно данным из ответа СБУ на депутатский запрос, по 359 статье за последние годы ведомством открыто 1130 УП, до суда доведено – 408 дел. В письме, подписанном главой СБУ Василием Грицаком, утверждается, что ведомством созданы условия для объективности заключений экспертов и нарушений в их работе не выявлено.

Тогда как в депутатском запросе говорится о жалобах на такие нарушения: 

В едином госреестре судебных решений нам удалось найти только приговоры за приобретение  и продажу ручек, пуговиц и т.п с вмонтированными камерами.

Вместе с тем, по данным 7 решений из судебного реестра, выяснилось, что в рамках того же УП (№22016000000000281), по которому навещали Уoucontrol, - еще в ноябре 2016-го были проведены обыски у основателя «Смарт Контрол» и в компании «Інфобезпека ЛТД».

Любопытные выдержки из одного из этих решений  суда:

- Слідчий в ОВС 2 відділу 1 управління досудового розслідування Головного слідчого управління СБ України капітан юстиції Петруля М.М. 26 листопада 2016 року звернувся до Шевченківського районного суду м. Києва з клопотанням, погодженим прокурором відділу процесуального керівництва досудовим розслідуванням і підтриманням державного обвинувачення Генеральної прокуратури України Калітенком С.О., згідно якого просить накласти арешт на тимчасово вилучене майно, а саме: телефон марки «LG», ID: НОМЕР_1;телефон марки «LG», s/n - НОМЕР_2 ( IMEI A:НОМЕР_3, IMEI В:НОМЕР_4), виявлені та вилучені 24 листопада 2016 року в ході проведення обшуку за місцем проживання ОСОБА_1.. 

Як зазначено в клопотання слідчого, під час розшукових заходів встановлено, що засновники ТОВ «Смарт Контрол» ОСОБА_1, діючи за попередньою змовою з ОСОБА_5 та працівниками ТОВ «Інфобезпека ЛТД» ОСОБА_6, ОСОБА_7 та іншими невстановленими слідством особами, з метою особистого збагачення, незаконно розповсюджують через інтернет - сайти «stakhanovets.ru»,  «Mirobase.com» спеціальне програмне забезпечення «Стахановець» та «Mirobase» виробництва Російської Федерації з ознаками спеціальних технічних засобів негласного отримання інформації, яке при інсталяції на ПЕОМ та смартфони дозволяє негласно отримувати інформацію з них без відома власника.

Відповідно до розподілу ролей та обов'язків ОСОБА_1 є розробником вказаного програмного забезпечення.

Згідно висновку експерта Українського науково - дослідного інституту спеціальної техніки та судових експертиз СБ України №62/3-419/2 від 11 жовтня 2016 року - технічні пристрої (сервер та клієнтські ноутбуки зі встановленим ПЗ «Стахановець») у комплексі з програмним забезпеченням «Стахановець», яке на них встановлене - відносяться до спеціальних технічних засобів отримання інформації.

Як вказує слідчий в клопотанні, обставини та наявні докази в кримінальному провадженні, дають підстави вважати, що в діях ОСОБА_1 наявні ознаки вчинення кримінального правопорушення, передбаченого ч.2 ст.359 КК України.

Власник тимчасово вилученого майна ОСОБА_1 заперечував щодо задоволення клопотання. Зазначив, що зазначене програмне забезпечення було розроблене в Україні і немає ніякого відношення до Російської Федерації.

Клопотання слідчого.... - задовольнити.

"Стахановец" и Mirobase – это программы контроля активности персонала. Они мониторят, какими ПО и приложениями сотрудник пользуется в рабочее время; сколько времени тратит на использование сети интернет в рабочих целях, а сколько – в личных; какая, куда и кому пересылается коммерческая информация; были ли удалены или отправлены важные файлы и не была ли база скопирована на «флешку» и т.п.  

Спикеры полагают, что уже давно пора усиливать ответственность правоохранителей за "вольную трактовку" норм законодательства, своих полномочий и последующий материальный ущерб компаний.  

Экс-сотрудник СБУ:

- По большому счету, информация, предоставляемая Уoucontrol и аналогичными сервисами для бизнеса более полезна, чем вредна. И пользователь такой информации действительно может получить конкурентные преимущества на рынке.

Угроз безопасности государства в перечне услуг Уoucontrol я вообще не вижу. Но для коррупционной составляющей госорганов - информация опасна, поскольку позволяет легко выявлять протекционизм и коррупционные связи госслужбы.

Дмитрий Овчаренко, вице-президент по правовым вопросам ассоциации "IТ Украины", управляющий директор компании SBT Systems Ukraine: 

- Поводом для визитов силовиков может стать и 359 статья, и любая другая статья УК. Вчера был «в тренде» терроризм, завтра – незаконное использование специальных технических средств.

Важно понимать, что пока не будет введена уголовная ответственность для следователей и прокуроров за такие умышленные «ошибки», они будут продолжать безнаказанно пользоваться своими полномочиями в личных корыстных целях, прикрываясь борьбой с терроризмом или защитой закрытых данных, или придумают еще какое-то новое «зло».

А такие «ошибки» приводят к миллиардным потерям для ИТ-компаний, выводу бизнеса за пределы Украины, снижению уровня инвестиционной привлекательности страны и при этом остаются абсолютно безнаказанными. Поэтому важно устранить причину - «болезнь», а не прогнозировать какие будут следующие «симптомы».