«Государству нужно нанимать гениев, а не судить их!» Ажиотаж вокруг Элвиса Страздиньша, оказавшегося втянутым в скандал с кибератакой на LVM, не утихает 0
Инженер-программист и энтузиаст технологий Элвис Страздиньш, который несколько дней назад поделился информацией о том, кто совершил кибератаку на АО «Latvijas valsts meži» (LVM), сообщил в соцсетях, что против него начат уголовный процесс. Однако Государственная полиция сообщает, что в рамках ранее начатого уголовного процесса в связи с кибератакой на LVM она проверяет действия некоего лица, не связанного с инцидентом.
В понедельник полиция сообщила, что установила случай, когда некое лицо самовольно и без санкции выдавало себя за представителя LVM и от имени государственных учреждений без полномочий совершало действия, в том числе связывалось с предполагаемым киберпреступником и вело переговоры о возможном выкупе за расшифровку данных.
Государственная полиция подчеркивает, что эти действия не были согласованы ни с одним из учреждений, участвующих в устранении последствий инцидента и расследовании. Также полиция указывает, что указанные обстоятельства в настоящее время оцениваются в рамках уже ранее начатого уголовного процесса, связанного с кибератакой на инфраструктуру LVM. «Ни одно лицо не задержано», — подчеркнула полиция.
До заявления полиции эксперт по кибербезопасности Элвис Страздиньш написал в социальной сети «X»: «Вместо того чтобы сказать мне спасибо, против меня начат уголовный процесс».
В то же время в опубликованной полицией информации не упоминается ни одно конкретное имя, а также прямо не подтверждается, что уголовный процесс начат именно против какого-либо конкретного лица. Полиция указывает лишь на проверочные действия в рамках уже существующего уголовного процесса.
Тем временем исследователь лаборатории искусственного интеллекта Института математики и информатики Латвийского университета Илмарс Пойканс резко прокомментировал произошедшее на платформе «X».
Цитируя фразу о «необратимых последствиях» и «существенных рисках», он иронизирует, что компания «обоср*лась по полной программе».
По мнению Илмарса Пойканса, последствия уже наступили, и в этой ситуации из Страздиньша пытаются сделать очень удобного козла отпущения.
Государство должно нанимать гениев
Свое мнение о неясной ситуации на платформе социальных сетей «Facebook» высказало также бюро присяжного адвоката Лауриса Клагишса, проанализировав ситуацию с юридической точки зрения.
В публикации говорится: «Как адвокатское бюро мы считаем, что эта ситуация отражает опасную тенденцию. Государственные учреждения формально применяют закон против исследователей в данной области, забывая о здравом смысле и общественных интересах.
Согласно заявлению полиции, лицо якобы «самовольно и без санкции выдавало себя за представителя Latvijas valsts meži» и «от имени государственных учреждений без каких-либо полномочий совершало действия, в том числе общение с киберпреступником». Юридически такие действия могли бы оцениваться в рамках двух статей Уголовного закона (KL): статья 273 KL: самовольное присвоение звания и власти государственного должностного лица. Статья 279 KL: самоуправство (совершение действий самовольно, в обход установленного законом порядка).
С точки зрения следователей несогласованное вмешательство может трактоваться как помеха. Однако наступление уголовной ответственности требует полного состава преступления, и именно здесь сконструированное следователями возможное обвинение является чрезвычайно слабым. Анализируя судебную практику, ясно видно, что по уголовным делам по указанным статьям лица оправдываются, если следователи не могут доказать преступный умысел или реальный, существенный вред.
Отсутствие преступного умысла (субъективной стороны). (Статья 273 KL) Статья 273 Уголовного закона предусматривает ответственность за самовольное присвоение звания или власти государственного должностного лица только в том случае, если это сделано «с целью совершить преступное деяние». В судебной практике виновных осуждают тогда, когда они, например, выдают себя за полицейских, чтобы выманить у жителей деньги (как это показывают несколько дел о мошенничестве в судах Латгалии и Риги), или выдают себя за инспекторов из корыстных побуждений.
В действиях Элвиса Страздиньша такого преступного умысла (например, желания самому присвоить средства, затребованные хакером) не было. Его целью был исследовательский интерес, так называемая киберразведка (Threat Intelligence), и информирование общества. Практика Верховного суда ясно закрепляет принцип: если невозможно доказать прямой умысел лица совершить само противоправное действие, лицо должно быть оправдано.
Отсутствие существенного вреда (в случае самоуправства, то есть статьи 279 KL). Если уголовный процесс пытаются продвигать по статье о самоуправстве, следователи должны неопровержимо доказать, что действия причинили существенный вред. В заявлении полиции упомянуто, что такое общение с хакером «может повлиять на ход расследования». В судебной практике Верховного суда (Сената) (например, по делу SKK-257/2011) закреплен вывод, что в уголовном праве недостаточно абстрактных рисков и предположений о том, что вред «мог возникнуть».
Существенный вред должен быть реальным и объективно доказуемым. Если обвинение не способно доказать, что действия эксперта напрямую и необратимо уничтожили конкретные цифровые доказательства, из-за чего преступник не был пойман, лицо подлежит оправданию по обвинению в самоуправстве. Суд не может осудить за то, что действия эксперта создали неудобства для учреждений, раскрыв публично отрицавшуюся информацию.
Государство должно нанимать гениев, а не судить их! Этот уголовный процесс выявляет тревожное непонимание государственными учреждениями современной кибербезопасности.
Публично прозвучавшая информация о том, что инфраструктура LVM была взломана с использованием уязвимости программного обеспечения семилетней давности, свидетельствует о критическом дефиците IT-гигиены и безопасности в самой системе. Вместо того чтобы запускать репрессивный аппарат против энтузиаста отрасли, государственным учреждениям следовало бы не выступать против него, а всеми силами попытаться нанять этого IT-гения на работу.
В развитых странах мира и глобальных корпорациях таких «белых хакеров» (white-hat hackers) приглашают к сотрудничеству и щедро вознаграждают за обнаруженные ошибки. Навыки Элвиса Страздиньша и подобных экспертов латвийскому государству следовало бы целенаправленно использовать для тестирования государственных IT-систем и регулярных проверок безопасности (penetration testing); для улучшения протоколов безопасности до того, как системы взломают враждебные иностранные группировки, а также при расследовании инцидентов в качестве независимых исследователей высокого уровня.
Начало уголовных процессов против информаторов и экспертов создает опасный «охлаждающий эффект» (chilling effect). Когда в следующий раз какой-нибудь талантливый IT-специалист заметит уязвимость в системе e-veselība, государственных регистрах или критической инфраструктуре, он промолчит, обоснованно опасаясь полицейских репрессий. Уголовное право должно быть крайней мерой, направленной против реальных преступников — тех, кто вымогает данные, а не тех, кто изучает их методы.
С юридической точки зрения и с точки зрения защиты вменение Элвису Страздиньшу норм Уголовного закона следует считать необоснованным. Отсутствие важнейших признаков состава — преступного умысла и реального существенного вреда — является сильным основанием для того, чтобы по таким делам принимались оправдательные решения или процесс прекращался».
Сам «виновник» поднявшегося ажиотажа, впрочем, прокомментировал его очень лаконично.
Как уже сообщалось, ранее Страздиньш публично заявил, что связался с лицом или группировкой, взявшей на себя ответственность за атаку на LVM, и выяснил возможный размер выкупа. По предоставленной им информации, нападавшие хотели получить за расшифровку данных 0,1% от годового оборота компании, то есть более 600 000 евро.
Тем временем LVM в понедельник подтвердило агентству LETA, что никто не обращался к компании с требованием выплатить выкуп. Компания также подчеркнула, что даже в случае такого требования выкуп выплачен не был бы.
Уже сообщалось, что ответственность за кибератаку на LVM взяла на себя иностранная группировка, занимающаяся программами-вымогателями, или «ransomware». В связи с инцидентом Государственная полиция ранее начала уголовный процесс, а к выяснению обстоятельств киберинцидента подключилось также учреждение «Cert.lv».
