Intelligent Enterprsie: В каких процессах вам чаще всего приходится участвовать?
Евгений Царев: Как правило, одной из сторон является банк. Обычно рассматриваются дела, связанные с кражей денежных средств через каналы дистанционного банковского обслуживания — ДБО. Для определенности могу сказать, что практически всегда за этими инцидентами стоят внешние злоумышленники, однако реально истребовать деньги можно с банка, поэтому таких процессов становится все больше.
Процессы эти являются массовыми, и практика постоянно накапливается. Раньше клиентам было практически невозможно доказать вину банка, даже если она объективно имела место, и до самого недавнего времени выиграть дело против банка клиенты не могли. Если клиент для банка важен, то банк старался с ним «договориться», используя разного рода инструменты вроде беспроцентных займов или разделения ущерба пополам. Однако даже для якорных клиентов вернуть всё было нереально.
Основная информация об инциденте находится на стороне банка, и доказать его вину при рассмотрении дела в арбитражном суде крайне сложно.
Однако ситуация меняется, и суды все чаще выносят решения в пользу клиентов. Несколько месяцев назад произошел перелом в судебной практике. А значит, дел будет еще больше, так как судебный процесс может стать буквально последним шансом для пострадавших компаний, стремящихся вернуть украденные у них деньги. Ведь речь зачастую идет о весьма внушительных суммах - десятках, а иногда и сотнях миллионов рублей.
Практически всегда в краже средств через ДБО есть вина клиента. Но и в самих системах ДБО настолько много уязвимостей, что даже если бы клиент неукоснительно соблюдал все требования безопасности, избежать кражи ему все равно бы не удалось. А системы фрод-мониторинга внедрены далеко не во всех банках. В финансовых учреждениях, которые находятся во второй сотне по объемам активов и ниже, такие системы встречаются крайне редко. Могу сказать, что в ходе процессов суды все чаще требуют предоставить экспертам для анализа сами средства дистанционного банкинга, вплоть до исходных кодов. И банки на это идут, так как отказ в представлении информации для экспертизы может автоматически привести к проигрышу.
Насколько распространены споры между заказчиками и интеграторами или поставщиками?
Обычно такие процессы связаны с некачественным оказанием услуг. В моем случае речь может идти о внедрении систем информационной безопасности, которые, по мнению заказчика, не работают или работают недостаточно эффективно вследствие ошибок при проектировании, внедрении и т. п.
Отдельно можно выделить дела о поставках неработающих технических решений или их комплексов. Часто стоит задача выяснить, почему они не работают и кто в этом виноват. А тут много всяких нюансов, связанных, скажем, с тем, что ПО, в отличие от оборудования, вернуть нельзя и поставщик старается сделать все, чтобы ПО все таки приняли.
Встречаются и нестандартные, в том числе, я бы сказал, экзотические дела. Был,например, иск об оспаривании договора аренды здания, которое якобы не соответствовало каким-то нормативам, связанным с обеспечением информационной безопасности.
А вот инциденты с сотрудниками до суда доходят редко. Даже если речь идет о довольно серьезных случаях кражи информации. Судебный процесс – дело дорогое и хлопотное, редкий работодатель желает тратить деньги на то, чтобы привлечь к ответственности нерадивого сотрудника. Исключения бывают, но тут речь идет о вопиющих случаях, когда был нанесен существенный ущерб и работодатель пошёл на принцип.
Как правильно подготовиться к процессу? Как собирать доказательную базу? Насколько часто приходится прибегать к экспертизе?
Процесс инициируют после возникновения некоей спорной ситуации. Всё начинается с обмена претензионными письмами, где высказываются причины «недовольства» и возможные пути его устранения. Если данный способ не срабатывает, приходится идти в суд. И тут, если дело касается ИТ или ИБ, нужно с самого начала привлекать экспертов. Причем крайне желательно, чтобы они, с одной стороны, разбирались в предметной области, а с другой, имели опыт участия в судебных делах.
Выбор эксперта по информационной безопасности — это один из ключевых моментов в подготовке к процессу,и привлекается он либо как специалист, либо как представитель стороны. Про себя могу сказать, что у меня есть опыт работы в обоих этих качествах. Всё зависит от специфики конкретного процесса.
Необходимо разрабатывать стратегию. Это кажется очевидным, но мне неоднократно приходилось сталкиваться с тем, что входя в судебный процесс, сторона не понимает, что и как будет делать.
После того, как сформирована стратегия, привлечен эксперт, нужно составлять иск, где следует корректно изложить свою позицию. Без эксперта в области информационной безопасности готовить иск нельзя, т.к. ошибки на самом раннем этапе не всегда можно исправить в дальнейшем. Лично я занимаюсь проведением нормативных экспертиз, которые, как правило, проводятся в досудебном порядке и нужны для обоснования позиции одной из сторон и демонстрации слабостей в позиции противной стороны. Это очень важно, т.к. при прочих равных, та сторона, которая проведет нормативную экспертизу с обязательным анализом нарушений требований регуляторов (ФСТЭК и ФСБ), эксплуатационной документации и пр. имеет значительное преимущество.
В ходе процесса практически всегда требуется независимая компьютерно-техническая экспертиза. Желательно, чтобы такую экспертизу назначил суд и ответы на вопросы суда могли подкрепить вашу позицию.
Принципиальная вещь - правильная формулировка вопросов. Это очень и очень важно. Подробно рассказывать не буду, это тема отдельного интервью.
Насколько велика компетентность работников юстиции, правоохранительной и судебной системы в сфере ИТ и ИБ?
Что касается правоохранительной системы, то тут все очень по-разному. Иногда следователь разбирается в предмете, знает, что ему нужно, задает правильные вопросы в ходе следственных действий, заказывает экспертизу у квалифицированных специалистов. Но встречается и совсем другая практика, которая многих, в том числе и меня, удручает.
В арбитражных судах ситуация интересная. Некоторые судьи обладают очень высоким уровнем подготовки. Например, в одном из недавних процессов меня изумило, насколько судья оказался глубоко погружен в тему, как он старался разобраться в ситуации и понять, что же произошло на самом деле.
Можно ли как-то обратить в свою пользу компетентность или, наоборот, некомпетентность работников юстиции и судебной системы?
Да, конечно. Это принципиальная задача. Нужно стремиться сделать так, чтобы какое-то обстоятельство, которое противная сторона посчитала незначительным, судом было воспринято с бóльшим вниманием, так, чтобы вся ситуация, что называется, заиграла новыми красками. В информационной безопасности много специфических моментов, таких как соответствие эксплуатационной документации, лицензирование, сертификация, а также регулирование со стороны ФСТЭК или ФСБ. Юристы, которыми являются представители сторон, да и сам судья до подобных нюансов обычно не доходят. А это важно. Бывают случаи, когда требования закона с формальной точки зрения вроде бы соблюдены, но подзаконные акты, которые касаются его исполнения и являются обязательными, нарушены, причем грубейшим образом.
Много говорится о несовершенстве российского законодательства. Так ли это?
С моей точки зрения, проблем именно с законодательством не очень много. А вот с правоприменительной практикой проблемы есть, и весьма серьезные. К тому же, несмотря на то, что наше право не является прецедентным, накопленную практику, при принятии решений, судьи все же используют. А она по многим вопросам, скажем так, спорная. В делах о мошенничестве через ДБО суды вставали на сторону банков просто потому, что в 2009–2011 годах преобладал именно такой тренд. Изменить устоявшуюся практику крайне сложно. Хотя это вовсе не означает, что такие попытки будут бесплодны.
Даже наоборот. Казалось бы, исход дела предрешен, но проведя детальный анализ можно найти документ, который разворачивает процесс на 180 градусов.
Какие типичные ошибки приводят к проигрышу в судебном процессе?
Плохая проработка свидетельств, отсутствие компетентного эксперта по информационной безопасности, непонимание текущей ситуации. Если у вашей стороны больше сведений и лучше подготовка, то разнести позицию противной стороны в пух и прах не так уж и сложно.
С какими еще типичными проблемами приходится сталкиваться?
Очень много дел связано с проблемами в договорах. Еще на стадии заключения контракта стороны невнимательно подошли к оформлению документов, а потом произошел конфликт и все пришли в суд. Хотя сколько раз говорилось о том, что договор надо читать. Особенно те его части, которые набраны мелким шрифтом. Там можно найти немало интересного. Некоторые контракты и вовсе составлены таким образом, чтобы за поставленные товары или оказанные услуги можно было вообще не платить. Мало того, еще и потребовать оплаты неустоек. Особенно часто такое встречается в контрактах на государственные закупки. Но читать договоры у нас не любят и подписывают буквально всё, что угодно, тем самым принимают заведомо невыполнимые условия. В моём блоге и на странице в Facebook опубликованы подобные примеры.
С Евгением Царёвым беседовал Яков Шпунт