№4 Квітень 2021 року → До справи

Тема: Кібербезпечна практика

Локдаун обумовив активний перехід бізнесу до царини «діджитал» і призвів до збільшення ризиків та загроз у цій сфері, росту кіберзлочинності, потреб у захисті інформації клієнта тощо. Це, у свою чергу, спонукає все більше адвокатів, юридичних фірм опановувати нову практику.

Тож які аспекти кібербезпеки сьогодні вже потрапляють у поле зору юриспруденції, знають наші експерти

Діджиталізація правовідносин. Які закони та підзаконні акти сьогодні регулюють правовідносини у сфері діджитал? Які проєкти законів можуть поліпшити ситуацію? Якою має бути кібергігієна та кібербезпека сьогодні з огляду на права та свободи громадян, правові відносини бізнесу та держави?

Анастасія ГЕВЧУК, юристка ЮКК «Де-Юре»

Через введення карантинних обмежень Україна вимушено перейшла на новий рівень діджиталізації в усіх відносинах: особистих, наукових, економічних і, в тому числі, правових. Пандемія дала нам поштовх йти в напрямку цифровізації впевненіше, оскільки це було необхідно для того, щоб не зупинилися процеси у суспільстві.

Одним із найважливіших важелів у правовій сфері є судова система, без якої призупиняється безпосередній захист прав людини. А тому судова влада зіткнулася з негайною необхідністю переходу в онлайн. Під час карантину через Закон України «Про внесення змін до деяких законодавчих актів України, спрямованих на забезпечення додаткових соціальних та економічних гарантій у зв’язку з поширенням коронавірусної хвороби (COVID-19)» № 540-IX від 30 березня 2020 року влада передбачила можливість дистанційної участі сторони провадження у засіданні, а саме — було розширено можливість участі в режимі відеоконференції у кожному з процесів. Разом із цим суди почали приймати документи, подані дистанційно через електронну пошту та підписані електронно-цифровим підписом.

Варто згадати також і про стрімкий розвиток сервісу «Дія». Через нього для юристів стало набагато простіше працювати з клієнтами ФОП, оскільки суттєво спростився процес реєстрації ФОП, отримання довідок.

Проте, що дійсно важливо в прагненні до діджиталізації, це захист прав людини, а також надзвичайно актуально — захистити персональні дані, що в сучасному світі робити стає дедалі складніше.

Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних (ETS № 108), її модернізація Протоколом про внесення змін до неї (CETS № 223, відкритого 10 жовтня 2018 року для підписання країнами-учасницями Конвенції ETS № 108), підкреслює, що вплив алгоритмічних систем на права людини став ширшим і вимагає додаткового захисту.

У зв’язку з чим Комітет міністрів Ради Європи видав Рекомендацію CM / Rec (2020) 1 Комітету міністрів державам-членам щодо впливу алгоритмічних систем на права людини. У цьому документі передбачено керівні принципи та алгоритм необхідних дій для ефективного захисту прав людини та персональних даних. Поряд з усіма іншими необхідними діями влади передбачене законодавче врегулювання. Держава має забезпечити дотримання та виконання законів, у тому числі, вимагаючи, щоб відповідні суб’єкти використання та обробки персональних даних представили адекватну документацію для перевірки дотримання законодавства. Якщо суб’єкти державного та приватного секторів не виконують своїх юридичних обов’язків, вони повинні нести відповідальність.

На цей момент Україні важко похизуватися стійкою і широкою законодавчою базою з цього питання. На сьогодні діє орган виконавчої влади, який займається конкретно цим напрямом, — це Міністерство цифрової трансформації та Комітет цифрової трансформації. Такі органи для України є новими, проте напрям, яким вони займаються, наразі є одним із пріоритетних, а тому очікуємо результатів їхньої роботи.

Олександр ВОРОНЦОВ, юрист Hillmont Partners, адвокат

У зв’язку з пандемією COVID-19 Україна, як і весь світ, відчула нагальну потребу пришвидшити розвиток інформаційних технологій та забезпечити можливість широкому загалу здійснювати буденні операції в електронному форматі.

Діджиталізація бізнес-процесів — це вже не майбутнє, а теперішнє, від чого залежить можливість кожного бізнесу вистояти в ці мінливі часи, переформатуватися та вийти з кризи озброєними новими підходами до роботи. Не є винятком цього процесу і юридичний бізнес, адже в нашій діяльності клієнт розраховує не тільки на високий професіоналізм та сервіс від адвоката, але й на конфіденційність, безпечність та надійність усіх процесів в умовах цифрової взаємодії.

В Україні досить розвинена інфраструктура цифрових послуг, і держава приділяє цьому питанню суттєву увагу. Особливо слід відзначити вражаючу роботу Міністерства цифрової трансформації України, яке впроваджує все більше інноваційних та надзвичайно корисних проєктів, таких як «Дія».

Серед основних законів, які регулюють в Україні сферу діджитал, варто виокремити Закони України «Про інформацію», «Про телекомунікації», «Про електронні документи та електронний документообіг», «Про адміністративні послуги», «Про електронні довір­чі послуги», «Про захист персональних даних», «Про електронну комерцію», «Про Національну програму інформатизації» тощо. Перелік можна продовжувати дуже довго і він не обмежений виключно законами. Правове регулювання сфери діджитал здійснюється також на рівні як міжнародних актів, так і підзаконних нормативно-правових актів України.

Серед найцікавіших проєктів законів можна назвати такі: «Про пуб­лічні електронні реєстри» № 2110 від 10 вересня 2019 року, «Про хмарні послуги» № 2655 від 20 грудня 2019 року, «Про віртуальні активи» № 3637 від 11 червня 2020 року, «Про стимулювання розвитку цифрової економіки в Україні» № 4303 від 2 листопада 2020 року. Вони покликані врегулювати нагальні потреби сьогодення, оскільки тенденції потребують якісно нового регулювання сфери діджитал.

Основні питання, які наразі стоять на порядку денному законо­творців, — це вдосконалення вже існуючої нормативної бази та забезпечення максимальної безпеки і стабільності як при обробці, передачі, захисті даних, так і при ідентифікації осіб під час здійснення різноманітних операцій у цифровому середовищі.

Зважаючи на це, діджиталізація, в тому числі юридичного бізнесу, є рушійною силою, яка сприяє розвитку і трансформації. Фактично, ми дійшли до того рівня правосвідомості, коли не виникає сумнівів, що залишиться конкурентоспроможним виключно той бізнес, який має ліпші технології та методи їх впровадження, що дає змогу залишатись гнучкими та динамічними незалежно від будь-яких зовнішніх факторів.

Кіберзлочини. Яві види інформаційних порушень та кіберзлочинів сьогодні стали найбільш поширеними? Які прогалини у законодавстві дають зловмисникам можливість вчиняти ці злочини? З якими загрозами стикаються бізнес та окремі особи найчастіше?

Анна ПАРХОМЕНКО, заступниця директора юридичного департаменту Moneyveo

Наразі в суспільстві дуже поширене твердження, що отримати онлайн-кредит за підробленими або краденими документами легко. Однак на практиці, навіть за великого бажання, це дуже складно.

Зазвичай злочин при отриманні онлайн-кредиту здійснюється шляхом виманювання тих чи інших даних безпосередньо у їх власників — фізичних осіб. Звісно, можлива ситуація крадіжки чи купівлі на чорному ринку безпосередньо бази даних, однак у будь-якому випадку тільки бази даних недостатньо. Це пов’язано з тим, що при оформленні онлайн-кредиту необхідними є і повні паспортні дані фізичної особи, і номер її телефону, причому перевіряється фактично не лише передплатні номери, а також належність банківської картки даної фізичної особи. Усю цю інформацію має перевіряти будь-яка фінансова компанія, яка захищає своїх клієнтів.

Якщо повернутися до виманювання даних, то на практиці подібні дії кваліфікуються як стаття 190 Кримінального кодексу України (шахрайство). Нерідко до цієї статті додається стаття 255 Кримінального кодексу України (створення злочинної організації, керівництво такою організацією, а також участь у ній) та/або стаття 361 Кримінального кодексу України (несанкціоноване втручання в роботу комп’ютерів, автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, вчинене членами злочинної організації). Однак ці статті випливають уже з процесу організації злочинної діяльності з виманювання інформації.

Процесуальне законодавство не передбачає особливостей розслідування і судового розгляду кіберзлочинів у відношенні до інших злочинів. Відповідно, зазначені дії відбуваються за загальними правилами.

Фінансова компанія у разі, якщо оформлення кредиту відбулося внаслідок шахрайських дій, у результаті чого кредитними коштами заволоділи шахраї, повинна виступати саме потерпілою стороною. Також для захисту своїх прав і повернення своїх коштів, якими заволодів злочинець, фінансова компанія, яка видала кредит, змушена потім звертатися до суду з цивільним позовом. На противагу захисту прав фізичної особи, якій для повного відновлення своїх прав та інтересів достатньо відповідного вироку суду.

На мою думку, доречним було б ухвалити такі зміни до процесуального законодавства, згідно з яким судді мали б право одночасно з винесенням вироку вирішувати повністю всі питання, пов’язані з відновленням порушених інтересів потерпілих осіб.

Михайло ПРОЦАЙЛО, молодший юрист Юридичної групи LCF

Говорячи про кіберзлочини, важливо визначити, що саме ми маємо на увазі. Академічно правильним буде вважати кіберзлочинами лише ті правопорушення, які включені до XVI розділу Кримінального кодексу України «Кримінальні правопорушення у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку». Утім, під кіберзлочинами доволі часто розуміють будь-які кримінальні правопорушення, які вчиняються за допомогою електронних пристроїв.

За предметом таких злочинів можна виокремити три великі групи: 1) заволодіння персональними даними; 2) порушення нормального функціонування установ шляхом втручання в системи безпеки та електронні бази даних; 3) порушення майнових прав особи шляхом втручання в електронні реєстри (у тому числі права інтелектуальної власності). На практиці доволі часто один злочинний умисел посягає на декілька з цих предметів.

Найчастіше об’єктом кібератак стають банки та фінансові установи. Це обумовлено великою кількістю грошових коштів, які перебувають у розпорядженні банку, масивом персональних даних клієнтів банку, а також критичною важливістю банківської системи для функціонування економіки. Наприклад, у 2017 році в одного з найбільших банків України була викрадена більша частина клієнтської бази, включно з паспортними даними. У той же рік вірус Petya заблокував роботу ряду найбільших підприємств різних сфер економіки, в тому числі фінансової. Але найбільш поширеними є «дрібні» майнові злочини, постраждалими від яких є клієнти банків.

Іншим прикладом майнових кіберзлочинів є втручання в Державний реєстр речових прав на нерухоме майно. Регулярно в ЗМІ з’являються повідомлення про те, що комп’ютер реєтратора було зламано і з нього було внесено зміни до реєстру. Наприк­лад, у квітні минулого року Мін’юст повідомив про повернення десяти квартир Міністерства оборони, які «імовірно, вкрали хакери». На жаль, поширені випадки, коли недоброчесні реєстратори після викриття правоохоронцями намагаються створити для слідства версію про втручання сторонніх осіб у роботу їхніх комп’ютерів, завдяки чому затягнути слідство та уникнути відповідальності.

Зростанню кількості кіберзлочинів сприяє низька ефективність розслідування таких злочинів та безкарність правопорушників. Це обумовлено низкою чинників. Перш за все, бізнес, особливо банківський сектор, не бажає заявляти про атаки, оскільки це несе значні репутаційні ризики. По-друге, не варто забувати також про низький рівень комп’ютерної грамотності населення.

Серед інших проблем варто згадати про відсутність у Кримінальному процесуальному кодексі України визначення поняття «електронний доказ», що також ускладнює процес доказування вини правопорушника.

Для поліпшення ситуації з розслідуванням кіберзлочинів, передусім, необхідно закріпити в КПК України поняття «електронний доказ». Збільшенню ефективності розслідування сприятиме також налагодження ефективної співпраці між потерпілим та органами досудового розслідування, включно з наданням повної та достатньої інформації. Ініціювання та контроль такої взаємодії є завданням адвоката потерпілого.

Сергій РЕГЕЛЮК, старший юрист Hillmont Partners, адвокат

Отримання фінансової вигоди шляхом шахрайства через викрадення особистих даних задля доступу до банківських рахунків, кредитних карток чи іншої інформації про платіжні та інші засоби зберігання цифрових активів наразі є найбільш поширеними кіберзлочинами. Нікого не здивує, що кібер­злочинність у фінансовій сфері ще тривалий час залишатиметься найпоширенішим видом злочину, оскільки світ дедалі більше стає цифровізованим.

Улюблена підстава чорних нотаріусів для ухилення від покарання — це послатися на нібито хакерську атаку і тимчасову втрату доступу до своїх ключів. Отримати доступ до реєстрів майнових прав ззовні практично неможливо без втручання людини, яка цей доступ надасть (свідомо чи шляхом омани). Вірогідність, що досвідчений нотаріус чи реєстратор відкриє сумнівне посилання у фішінговому е-мейлі, дуже низька, проте такий спосіб прикриття залишається дієвим та поширеним.

Це не прогалина законодавства, зокрема українського, світ дуже швидко змінюється, і балансувати між правами та обов’язками щодня стає складніше. Презумпція законності дій, яка є основою доброчинності намірів для ведення бізнесу, в купі зі швидкими технологічними процесами дають змогу шахраям відносно легко вдаватися до злочинів із застосуванням цифрового елементу. У результаті правоохоронні органи та регулятори вдаються до додаткових інструментів нагляду та перевірки, за що чесний бізнес потім розраховується.

У цілому банківські системи є надійними від проникнення, основ­на увага приділяється навчанню співробітників і клієнтів щодо існуючих кіберзлочинів та інструментів. Упередження незаконної та злочинної поведінки банківських співробітників і клієнтів є запорукою захищеності банківського сектору.

Щороку спостерігаємо збільшення кількості «злочинів», які мало чим відрізняються від тих, що передбачені Кримінальним кодексом України, з тією лише різницею, що вони зараз мають ознаки кіберзлочинів через поширення технологій. Щоб не стати жертвою фінансової кіберзлочинності, ми повинні розуміти, що технологія реагуватиме на прийняті нами ж рішення — вона не може приймати рішення за нас. Досвідчений юрист повинен вміти знаходити та оцінювати ризики, виявляти осіб та контрагентів, які мають ознаки високої ризикованості, та діяти на упередження.

Тобто людський фактор — це основний фактор, на який орієнтується більшість кіберзлочинців, на відміну від ідейних чи політичних, які, як правило, працюють на державу та мають технологічні ресурси цілої країни задля здійснення атак, наприклад, на об’єкти критичної інфраструктури (шляхом DDoS-атак). Проте є механізми боротьби й проти таких загроз зав­дяки білим хакерам, де Україна, до речі, задає моду, пропонуючи

-->