Киберсыщик, возглавлявший управление СК по борьбе с хакерами, и бывшая сотрудница БелТА — об ответственности за пароли
22.08.2018

Киберсыщик, возглавлявший управление СК по борьбе с хакерами, и бывшая сотрудница БелТА — об ответственности за пароли

Журналисты, задержанные по «делу БелТА», отпущены, но остаются в статусе подозреваемых. А в самом деле остается много вопросов — технических, правовых, этических. Часть из них dev.by задал Александру Сушко — руководителю минского офиса российской частной компании по расследованию киберпреступлений Group-IB.

Александр Сушко. Фото: dev.by

На этудолжность Александр Сушко заступил впрошлом году. До этого он возглавлял управление по расследованию преступленийпротив информационной безопасности и интеллектуальной собственности главногоследственного управления Следственного комитета, то есть знает эту кухнюизнутри и имеет профессиональный взгляд на произошедшие события.

В 2017 годуМеждународная ассоциация следователей по финансовым преступлениям назвалаАлександра Сушко лучшим представителем правоохранительных органов года.

«Если бы в Беларуси была уголовнаяответственность юрлица, проблемы бы не возникло»

— Александр, в вашей практике ст. 349(Несанкционированный доступ к компьютерной информации. — Прим. dev.by) частоприменялась? В отношении каких дел?

— Применялась,и часто. Например, я попрошу у вас телефон. Вот, я его взял и пытаюсь включить:так, пароля нет. Это уже плохо с точки зрения информационной безопасности.Дальше я открываю учетную запись и фотографирую ее. Потом мне становитсяинтересно, с кем вы общаетесь в социальных сетях, я захожу в ваш аккаунт и вижувашу переписку, ленту активности и т. д. В данном случае это —несанкционированный доступ к компьютерной информации, совершенный из личнойзаинтересованности. Или, например, я получаю доступ к банковскому счету исмотрю, сколько у вас денег.

Сам фактнесанкционированного доступа образует состав преступления с 2001 года, и за этовремя через суды прошли сотни людей. За доступ к электронной переписке, каккаунтам в соцсетях, к административной части сайта. Последний кейс был вВитебске: парень получил доступ к кабинету статистики оператора связи ипосмотрел, кому звонила его подруга, а после стал предъявлять ей претензии.

Несанкционированныйдоступ не влечет таких вредных последствий, как блокирование информации, ееуничтожение или изменение. Несанкционированный доступ — это, как правило,средство облегчения совершения иного преступления, но не более того.

По «делуБелТА» не вменяется в вину копирование новостей и их публикация, вменяетсяпросто доступ к информации помимо установленного порядка.

Этопреступление относится к категории не представляющих большой общественнойопасности. Это самая слабая категория в Уголовном кодексе. Как правило, такиепреступления не наказываются лишением свободы, обычно применяются штрафы.

— Вы говорите о случаях,действительно имеющих личный характер. А в отношении информационных лент былили дела?

— Вотношении информационных  лент — нет.

— Вы согласны с возбуждениемуголовного дела в данном случае?

— Яматериалов дела не видел, но на основании той информации, что былаобнародована, могу сказать: как правоприменитель с 15-летним опытомрасследований в этой сфере я уголовное дело по заявлению БелТА возбудил бы.Потому что есть заявление информагентства и есть 15 тысяч доступов, которыесовершались на протяжении нескольких лет с разных ip адресов.

Составпреступления есть: кто-то из личной заинтересованности просматривал запрещеннуюинформацию. Запрещенную в том смысле, что она запрещена для просмотра в течениекакого-то времени, до тех пор, пока она выходит в открытый доступ, либозапрещена для просмотра теми, кто не владеет паролем.

— Но какая личная заинтересованностьмогла быть у журналистов, проходящих по «делу БелТА»? Новостные лентыжурналисты читают в «служебных целях». Почему претензии к ним, а не к ихработодателям?

— У насзаконодательство не предусматривает уголовную ответственность юрлица, хотя внекоторых странах она допускается. Будь у нас прописана эта ответственность,проблема была бы снята: установили, что доступ к ленте осуществлялся винтересах юрлица, организацию привлекли к ответственности — и все на этом.

Но у насэтого нет, есть вина физлица. Поэтому в ходе следствия выясняются всеобстоятельства, в том числе субъективная сторона дела.

«Мы 17 лет ждем разъяснения ПленумаВерховного суда»

— По-вашему, «дело БелТА» подходитпод ч.2 ст. 349, и, несмотря на отсутствие взлома, это киберпреступление?

— Здесь небыло взлома, могу заявить ответственно, но взлом здесь и не вменяется. Взлом —это статьи 350-351.

— Так об этом идет речь и в ч.1 ст.349.

— Нет, тамидет речь о несанкционированном доступе к информации, хранящейся в компьютернойсети, сопровождающемся нарушением системы защиты. А что такое система защиты?Она может быть технической, когда постороннее лицо не допускается, а самаябанальная система защиты — это система авторизации, то есть логин и пароль.

— В случае с БелТА эта система и ненарушена.

В чем сутьнесанкционированного доступа? Без разрешения держателя. Порядок доступаустановлен собственником информации: ты заключаешь договор, получаешь реквизитыи право доступа. Если в договоре прописано, что ты имеешь право передаватьреквизиты другим лицам, всякая ответственность с тебя снимается. Если женаписано, что реквизитами можешь пользоваться только ты либо организация, то вслучае нарушения этого порядка возникает ответственность.

— А чья ответственность? Третьясторона, которая каким-то образом получила эти реквизиты, вообще не имеетотношения к договору.

— Сколькоюристов, столько и мнений. Юридическая практика сильно отстает от техническогоразвития. Ст. 349 появилась в 2001 году. Неужели за 17 лет ни у когоотносительно нее не возникало вопросов? Возникали. Но только у тех, кто с неюсталкивался — следователей, прокуроров, судей, обвиняемых и адвокатов. Доистории с журналистами большого публичного интереса к этой статье не было.

Чтобыединообразно толковать статьи в главе 31 УК РБ «Преступления противинформационной безопасности», нужно разъяснение Пленума Верховного суда — отом, как применять эту главу.

За 17 летсуществования главы разъяснение так и не появилось. Может быть, теперьпоявится.

— На какие вопросы должен ответитьПленум?

— В томчисле на те, которые мы сейчас с вами обсуждаем. Лица, которые принимаютокончательное решение, то есть судьи, должны более подробно описатьобстоятельства по каждому квалифицирующему признаку преступления. Что такоеличная заинтересованность? Что такое существенный вред? Что такоенесанкционированный доступ?

— Из доступной информации вы видите вслучившемся вину журналистов?

— Вюридической науке выделяют объективную и субъективную стороны преступления.Действия, выраженные в получении доступа к ленте, были произведены, это объективнаясторона. Субъективная сторона — это то, как человек понимает свои действия.Следствие должно выяснить, как человек получил пароль, что он делал в системеБелТА, как он оценивал свои действия.

Например,ему передали эти пароли. Тогда надо узнать, кто и каким образом передал. В этоми заключается расследование. Иногда люди начинают врать ради хорошей картинки,но до мельчайших подробностей всего не придумаешь.

В связи споявлением пояснений, новых обстоятельств уголовное дело в отношенииконкретного человека может быть прекращено, и он из подозреваемого можетпревратиться в свободного человека. Либо дело прекращают в результатедеятельного раскаяния. Также человека могут оправдать в суде.

Я могучестно сказать, что за свою практику прекратил больше десятка таких дел.Сначала кажется, что есть основания для привлечения лица к ответственности, апотом выясняется, что они отпадают.

— Вводя реквизиты, человек может недогадываться о том, что что-то нарушает. Как защититься от подобных ситуаций?

— Любойчеловек, перед тем, как совершать активные действия с информацией, должензадуматься о том, какие последствия это влечет. Я не говорю, что те люди,которые использовали пароли БелТА, должны были думать, что совершаютпреступление. Я говорю просто о «задумчивости»: они должны понимать, что это заинформация.

«Один след ведет в редакцию, другой —к личному компьютеру»

— Расскажите о технической сторонетаких расследований. Если в договоре с БелТА нет ограничений по количеству ip,как отделяли ip подписчиков от ip сторонних людей? И как в редакциях, гдедесятки сотрудников, вычисляли нарушителей?

— Следователь— этот тот, кто идет по следу. Стали отслеживать ip адреса и установили, чтоэтот ip выделялся такой-то редакции. Следующий шаг — установить, кто в этойредакции осуществлял доступ.

— Как?

— Если у васесть реквизиты доступа, а вы не в офисе, как вы будете смотреть новости?

— С личного компьютера?

— Вот. Одинслед приводит в редакцию, а второй — к личному компьютеру сотрудника.

— То есть сопоставляли спискисотрудников редакций и владельцев частных ip?

— Да.Понять, кто осуществлял доступ — это вопрос техники и времени.

— Сколько времени, например,человеко-часов, могла занять эта работа? Не встала ли колом работа всегокиберотдела, пока вычисляли журналистов?

— Сложнокомментировать, не видя материалов дела. Отвлечение ресурсов было, но и подругим делам оно бывает.

«Вообще-то https принятоиспользовать, но ограничений тут никто не ставит»

— Давайте поговорим о доступностисекретных реквизитов. Если доступ к ленте БелТА совершался годами, можнопредположить, что пароли не менялись. Как вы думаете, почему?

— В 80%наших организаций отсутствует политика информационной безопасности, поэтому таки происходит. В политике прописывается, что директор контролирует процессы,связанные с информатизацией, назначает лицо, которое следит за сетевойбезопасностью. Отдельное лицо может быть ответственно за выделение логинов ипаролей. В банках этот процесс хорошо налажен. Есть ли политика информационнойбезопасности в БелТА? Я не знаю.

Логичнопредположить, что в информагентстве, которое продает свои новости, этот процесстоже должен быть налажен.

В идеале влюбой организации этот процесс должен быть налажен. Ты пришел и расписался, чтотебе выдали логин и пароль. Либо должно быть документальное подтверждение, чтотебе их отправили по почте. После этого получатель сам беспокоится о своихпаролях, а администратор системы ему напоминает, что пароли раз в несколькомесяцев следует менять.

Кроме того,есть технологичные решения: не просто кто-то прописал, что один отвечает, адругой следит, а софт, который сигнализирует, что активность идёт не от вашегопользователя. В нашей компании, например, есть решения, которые позволяютпротоколировать действия каждого пользователя в системе.

— Бывшая сотрудница БелТА рассказалаdev.by на условиях анонимности, что в техподдержке о заходе на ленту стороннихлюдей знали давно.

— 3-4 года назад часть людей, которыезанимаются техподдержкой, знали о том, что сторонние люди заходят на сайт БелТАпод чужими паролями, — рассказала dev.by бывшая сотрудница информагентства. —Полгорода знало эти пароли — они ходили по рукам. Эта тема поднималась в БелТА.Периодически были разговоры о том, что «может быть сменить систему» или сделатькакие-то ключи, как у Bloomberg и других агентств, или ввести флешки. Но всёэто так и осталось разговорами. Я даже не уверена, что все техническиесотрудники в них участвовали. Как правило, такие темы обсуждались в кабинетахнебольшими группками людей. А потом почему-то решили ничего не менять — простозабили, ну пользуются, и пользуются… Но нельзя сказать, что об этом вообщеникто не знал. Об этом знал определённый круг лиц. Я не знаю, доходило ли этодо руководства: руководители в «поля» ведь не ходят. Информация в любом случае доходила до менеджера, которыйруководил техподдержкой. Почему он ничего не предпринял, не позвонил, я незнаю. Честно говоря, меня удивляет: от полного бездействия перешли ко всемуэтому — для меня это странно.

Если это действительно так, может лирассматриваться вопрос о бездействии со стороны руководства агентства?

— По моемумнению, в ходе расследования эти обстоятельства будут устанавливаться. Будут литам признаки уголовного преступления либо дисциплинарного проступка, определитследствие и на втором этапе — суд. У меня были дела по несанкционированномудоступу, по которым мы писали большие, разгромные представления. Не скажу, чтотам люди были виноваты (у них была политика информационной безопасности), но мывидели, что преступник получал несанкционированный доступ благодаря отсутствиюконтроля.  В таких случаях иногда людейдаже увольняли с работы.

— «Даже увольняли» в контекстезадержаний и возможных сроков звучит не очень серьезно.

— Я говорю оситуации, когда в организации все нормативы безопасности прописаны, а отдельныйчеловек просто недоработал. Кроме увольнения, может быть гражданско-правоваяответственность и возмещение ущерба.

Могутвозбуждаться и уголовные дела в отношении тех, по чьей вине эта информациягуляла.

— Со стороны потерпевшего?

— Однозначно.Если есть обстоятельства, подтверждающие, что это сделано умышленно, не принятымеры по обеспечению сохранности информации, то да, это возможно.

— Следствие обязано идти по следу доконца, выясняя, каким образом произошла утечка реквизитов БелТА?

— Следствиедолжно устанавливать все обстоятельства, и отягчающие, и смягчающие винуподозреваемого, в том числе и оправдывающие его. Если подозреваемый заявляетчто-то и просит это проверить, это должно выполняться. Другое дело, что всёисполнить невозможно: если для проверки надо опросить человека, живущего наЛуне, вряд ли кто-то туда полетит.

— На сайте БелТа нет https, то естьпароль при отправке передавался в открытом виде. Есть ли у госорганов какие-тостандарты по защите систем управления?

— На самомделе, https принято использовать, но ограничений тут никто не ставит. Это правоорганизации — самостоятельно определять политику безопасности. Можнокритиковать, можно советовать, но заставить пока нельзя. Поэтому я глубокоубеждён, что такая стратегия информационной безопасности должна разрабатыватьсяна уровне государства, в том числе чтобы потом можно было спросить: а высоблюли минимальный перечень норм безопасности? Не соблюли — тогда это вашипроблемы, что вас кто-то взломал или осуществил несанкционированный доступ.

Может быть,закон о защите персональных данных и заложит норму о том, что если выобрабатываете данные, то ваша обязанность — банально иметь «офицера по безопасности»(Security Officer). Но надо понимать, что не всё так просто. У организацииможет просто не быть денег на внедрение системы безопасности.

Возможно,это дело что-то изменит  в общейситуации.

— Как думаете, БелТА уже сменилопароли, или на время следствия все может быть оставлено как есть, чтобы,например, поймать новых нарушителей?

— Не знаю.Многие в прессе уже говорили, что пароли целесообразно менять. И я тоже такдумаю.

«В случаях, когда мы все изымали, яиз своих личных денег давал на проезд»

— Если несанкционированный доступ непредставляет большой общественной опасности, зачем тогда понадобились обыски изадержания, можно ли было провести следственные действия более щадящимиспособами?

— И да, инет. Да, потому что каждый следователь сам определяет, как ему поступать. Отизбранной тактики зависит следовая картина. Давайте мы к вам придем и из-зазакрытой двери скажем, что сейчас будет обыск. Наверное, мы долго будем стучатьи кричать. Это нормальная ситуация: вы не хотите вторжения в свою жизнь, ноесли не проводить обыск, то просто так к вам войти нельзя. А если естьсанкционированное прокурором постановление, то можно ломать запорноеустройство.

— Задерживать людей было зачем?

— Тутрешение тоже принимает следователь. Задержание может производиться, чтобычеловек не повлиял на электронные доказательства, которые остались в облачныххранилищах. Допустим, мы отпускаем человека, а он удаляет доказательства,содержащиеся в переписке. За 1-2 дня эту информацию можно скачать из облачногоаккаунта, и тогда человека можно отпускать.

Насколько язнаю из открытых источников, обыски проводились у большего числа людей, но невсех же задержали.

— Представителей госСМИ незадерживали — только частных.

— Об этом яничего не могу сказать. Я хочу сказать, что решение о задержании принимается наместе: вы все изъяли, человек вам все рассказал, вы видите, что он ничего нескрывает, и вы его спокойно отпускаете домой.

— По поводу доступа к «облакам»: какследователи получают пароли к аккаунтам?

— По-разномубывает. Иногда ставится условие: вы даете реквизиты аккаунта, мы вместе с вамиего осматриваем, и вы идете домой. Другой отказывается: вы меня задержали, покане бьете, но, может, сейчас начнете, я не собираюсь с вами разговаривать. Дляэтого и предусмотрена временная изоляция, чтобы санкционировать дополнительныедействия и осмотреть данные.

— А если в изъятой технике нет сохраненныхпаролей?

— Значит,ничего не будет.

— Тогда будете бить?

— Сейчас ужене те времена. Если вы думаете, что кто-то обязательно хочет кого-то посадить иполучить пароли любым способом, то вы ошибаетесь, такого давно нет. Задержание— это некий элемент противоборства, когда одна сторона сопротивляется, а другаяхочет получить данные. Садят не для того, чтобы посадить. Садят на время длятого, чтобы человек не мог изменить эти данные.

— Зачем банковские карточки изымали?А у кого-то и наличные.

— (Удивленно)Все-все-все? Насколько я знаю, карточки осмотрели, переписали и через несколькодней опять отдали. Возможно, изымали, чтобы посмотреть движение средств по счету:с использованием банковских карт могут совершаться другие преступления в сфереИТ, например, те же оплаты взлома. А может, там будут карточки иностранного банка?Обычно, когда совершались хищения, мы всегда изымали карточки.

— Но какое отношение хищения иливзлом имеют к «делу БелТА»?

— По статьео должностном преступлении (действия главреда tut.by Марины Золотовойквалифицируют по признакам ч.2 ст. 425 УК РБ — бездействие должностного лица. —Прим. dev.by), например,предусмотрена конфискация. Кроме того, раз звучат заявления о материальномущербе, предполагается, что какие-то исковые требования уже есть.

— Если бы карты изымали в обеспечениеиска, то их бы не вернули.

— Следователидолжны предусмотреть меры ограничения до суда.

— Карточки изымали и у членов семьи.А на что семье жить? Как в этом случае соблюдаются права человека?

— Я отвечуза себя. В таких случаях, когда мы вс изымали, я из своих личных денег давал напроезд. Пять рублей — с меня не убудет. Мы проверяли движение по счету,убеждались, что там нет отмывания или чего-то еще, связанного с расследуемымпреступлением, и тогда карты возвращали.

— У журналистов, в редакциях изъялитехнику, информацию с нее, наверняка, копируют. Где гарантия, что следователине станут изучать информацию, которая вообще не имеет отношения к делу «БелТА»,и не используют ее против СМИ?

— А кактакую гарантию можно дать? Когда вы открываете чью-то переписку, вы же не знаете,к чему она имеет отношение. Для этого надо ее прочитать.

— То есть будут открывать и читать все?

— Необязательно. Все зависит от того, достаточно ли имеющихся доказательств.Одного, как правило, недостаточно. Если вы нашли 7-10 доказательств, то зачемвам этот компьютер дальше осматривать?

— Как думаете, стоит ли задача найтидругую интересную информацию относительно деятельности журналистов и СМИ, чтобыкогда-нибудь в будущем ее использовать?

— Откуда мнезнать? Я не знаю. Думаю, что нет. Потому что, если бы какая-то информацияинтересовала следствие, ее бы уже получали независимо от этого дела.

— По словам гендиректора РУП «БелТА»Ирины Акулович, в правоохранительные органы она обратилась в концеапреля-начале мая, а записанный разговор между «тутбаевцами» Анной Калтыгиной иМариной Золотовой, как утверждает Марина, состоялся в марте. На каком основанииустанавливали прослушку, если заявления тогда еще не было?

— Не знаю.

— Зачем было публиковать записьпрослушки, выкладывать видео с обысков? Разве это не нарушение законодательстваоб оперативно-розыскной деятельности?

— Я не могуэто комментировать. В моих кейсах такого не было. Почему здесь так происходило,я не знаю.

«Прожжёные хакеры могут выйти нановый уровень работы»

— Как думаете, не девальвирует ли«дело БелТА» в глазах общества работу управления по расследованиюкиберпреступлений?

— Все станетизвестно со временем. Надо дождаться выводов следствия, увидеть, какое решениебудет принято, будет ли оно передано в суд, а после этого делать выводы идавать рекомендации.

Разочарованиеесть у всех. Оно есть у журналистов, по которым, по их мнению, жестко прошлись.Но если будет «обратка»: мол, следователи плохие, не ловят киберпреступников, аловят журналистов, то такое же разочарование наступит и у следователей. Мол, нестоит заниматься защитой информации в интернете, не стоит ловить людей, которыетакие вещи делают.

— Следователи ждут общественнойпохвалы?

— Необязательно похвалы. Но, как и журналисты, они ждут положительной оценки своейработы. Главное же — то, что те прожженные хакеры, которые реально взламывают иделают много плохих вещей, могут выйти на новый уровень работы. И тогда нашемуобществу будет нехорошо. В той же Украине, Молдове — вал киберпреступлений,которые никто не расследует, потому что у правоохранительных органов нет нужнойкомпетенции.

— Я в ваших словах слышу такуюлогику: на пустом месте раздули «дело БелТА», общество высказало недовольство,следователи фрустирируют и не ловят хакеров.

— Нет,абсолютно не так. Я хочу сказать о том, что мы все хотим идти к светломубудущему, помогая друг другу. Никому не пожелаю оказаться в ИВС, тем болеедевушкам. Понятно, что произошедшее — нехорошо для конкретных людей, но, может,благодаря этому ситуация в целом будет меняться в плане противодействия такимпреступлениям. Понимаете?

— Нет.

— Значит,будут еще раунды переговоров. Сейчас мы многого не знаем, но, когда материалыдела откроют, станет яснее, и тогда можно будет делать какие-то выводы.Преступление есть, это очевидно. Другое дело — есть ли тут вина каждого изподозреваемых.

Когда пройдетвремя и с этим делом наступит ясность, тогда станет понятнее.

Последнее в рубрике