Заведующий кафедрой
экономической безопасности
– Почему салюта не было?
– Государь, на то есть семнадцать причин. Во-первых, порох отсырел. Во-вторых, пушкарь спился. В-третьих, пушки заржавели…
– Болван! Достаточно и одной причины!
Хроника расследования одного инцидента
В некоторых аспектах функционирование российской правоохранительной системы весьма существенно отличается от иностранных. Если за рубежом 1 основное расследование осуществляется именно на стадии судебного разбирательства, то в нашей стране приоритет отдается досудебному следствию. Именно на этой стадии выясняются ключевые особенности дела, которые затем лишь проверяются на стадии судебного следствия.
Вследствие этого многие зарубежные руководства по расследованию инцидентов информационной безопасности рекомендуют организовывать немедленную «экспертизу» скомпрометированных систем силами IT-подразделения пострадавшей компании или привлеченных специалистов. Результаты исследований затем передаются в полицию или непосредственно в суд, где используются для доказательства вины конкретных злоумышленников. Такой подход полностью соответствует законодательству США и ряда стран, принадлежащих к англо-саксонской правовой системе. Одним из главных его преимуществ является минимальная задержка между выявлением компрометации системы и проведением квалифицированного исследования, а также общее ускорение расследования.
Однако действующее в России процессуальное законодательство прямо запрещает подобные методы. Экспертиза в нашей стране может быть проведена либо по мотивированному постановлению следователя (по уголовному делу), либо по решению суда (по гражданскому делу). Любые исследования, выполненные какими бы то ни было специалистами без такого правового «оформления» в дальнейшем не могут служить доказательствами по делу, поскольку не имеют юридической силы. Проводить исследование, которое в дальнейшем может быть положено в основу обвинения, возможно только после начала уголовного следствия по делу.
Между тем на практике дата начала следствия предсказуема ненамного точнее даты конца света. Во многих российских компаниях заведены строгие порядки общения с внешним миром: заявление в правоохранительные органы можно подать не иначе как с санкции первого лица компании. Поскольку генеральный директор, вообще говоря, не обязан ежедневно по восемь часов присутствовать на рабочем месте, получение такой санкции может растянуться на 3-5 дней в зависимости от обстоятельств 2 . В полиции тоже не кипят желанием немедленно в присутствии заявителя заводить уголовное дело. Статья 144 Уголовно-процессуального кодекса РФ 3 отводит на т.н. доследственную проверку 10 дней 4 с момента подачи заявления. Причем вынужденное ожидание отнюдь не является залогом возбуждения дела. Статья 145 УПК разрешает следователю принять решение об отказе в возбуждении уголовного дела или о направлении материалов проверки по подследственности. И если первый вариант может быть успешно обжалован в суде, то второй предоставляет недостаточно профессиональному следователю возможность затянуть рассмотрение дела по существу на теоретически бесконечно долгое время. Таким образом, проведение юридически значимого исследования откладывается, по сути, на неопределенный срок. И за этот срок могут быть утрачены такие важные данные, как сторонние лог-файлы (например, банков и провайдерских компаний), видеозаписи охранных систем и др.
Решить данную проблему возможно несколькими способами. Наиболее простой из них был описан в методических рекомендациях NIPC 5 – «Заранее укрепляйте контакты с адвокатской конторой, командой аварийного реагирования, правоохранительными органами». Речь здесь идет не о коррупции, а всего лишь о предварительном «знакомстве» службы экономической безопасности компании с местными правоохранительными органами, чтобы иметь представление об их возможностях и в случае инцидента обратиться за помощью в те структуры, которые на самом деле могут эту помощь оказать. Главным недостатком этого способа можно считать патологическую уверенность большинства капитанов нашего бизнеса в том, что уж с ними-то никакой беды никогда не случится, и вытекающий из этой уверенности категорический отказ от подобных контактов.
Второй способ – убедить органы государственной власти (хотя бы на уровне губернатора области) в существенной социальной роли своей компании и добиться появлении в компании т.н. «прикомандированных» работников органов внутренних дел (как правило, в службе безопасности). В случае нанесения компании ущерба вследствие противоправных действий неизвестных лиц эти специалисты смогут немедленно начать доследственную проверку, юридически корректно изъять все необходимые лог-файлы и в ряде случаев установить лиц, совершивших преступление, даже до официального возбуждения уголовного дела. К сожалению, этот способ не работает для мелких и средних компаний – хороших прикомандированных специалистов на всех желающих не хватит.
Третий способ представляет собой сложившуюся в российской бизнес-практике извращенную реализацию второго. Вместо губернатора области в высокой миссии компании убеждают кого-либо из руководителей правоохранительных органов среднего звена. Следствием этого может стать получение кем-либо из работников подразделения экономической безопасности статуса внештатного сотрудника полиции 6 . В этом случае при некотором везении вся собранная по данному делу информация будет считаться собранной правоохранительными органами в законном порядке.
Четвертый и самый затратный для компании способ – сразу же после инцидента обратиться в специализированную консалтинговую компанию по расследованию инцидентов информационной безопасности. Поскольку такие компании уже реализовали для себя один из предыдущих способов, с их помощью срок возбуждения уголовного дела существенно сокращается, а шансы на адекватное возмещение имущественного ущерба соответственно возрастают. Основной недостаток такого подхода – цены на услуги таких компаний. Несмотря на то, что менеджеры консалтинговых компаний считают цены всего лишь экономически обоснованными в условиях кризиса, некоторые их клиенты употребляют даже эмоционально окрашенные оценки типа «бессовестные» и «грабительские».
Наконец, пятый способ – максимально сократить ранее уже описанный интервал времени от возникновения инцидента до официального обращения в правоохранительные органы. Для этого в нормативных документах компании должна быть прямо прописана обязанность конкретного должностного лица компании 7 немедленно без согласования с кем бы то ни было обращаться с заявлением в государственные правоохранительные органы сразу же при получении информации о нанесенном компании ущербе.
Никак нельзя рекомендовать в качестве полезного до сих пор не изжитый рядом российских компаний способ на начальных стадиях развития инцидента собрать всю необходимую информацию приватным порядком, без официального оформления. Во-первых, обаяния работников частной службы безопасности может и не хватить на коллег из других компаний, в результате чего создаются все условия для утраты существенных доказательств. Во-вторых, такое кустарное расследование в дальнейшем может опорочить результаты расследования официального, подорвав их доказательственное значение.
Во всех известных автору зарубежных источниках содержится здравая рекомендация как можно скорее поручить сопровождение расследования инцидента профессиональному юристу. Однако в нашей стране в качестве такого юриста постоянно пытаются использовать начальника юридического отдела компании или кого-то из его наименее талантливых подчиненных. При этом сторонники такого совместительства не понимают, что большинство российских юристов отличается несколько односторонней подготовкой. Поскольку изучить все отрасли права 8 сразу и в дальнейшем поддерживать эти знания в актуальном состоянии практически невозможно, юристы специализируются в какой-то одной области права. По понятным причинам юридические отделы компаний укомплектовываются преимущественно специалистами по гражданскому праву, которые совершают досадные ошибки, столкнувшись с уголовным судопроизводством.
Поэтому для корректного юридического сопровождения расследования инцидента целесообразно немедленно привлечь к сотрудничеству адвоката, специализирующегося в уголовном праве. Помощь такого адвоката неоценима, особенно если для компания понесла существенный ущерб, который хотелось бы возместить. Автору известен, например, прискорбный случай с начальником юридического отдела в крупной компании. Уважаемому специалисту по гражданскому праву некий лейтенант одной из государственных правоохранительных структур 9 просто вернул заявление о совершенном преступлении на том основании, что оно не заверено нотариусом. Со специалистом в уголовном праве этот фокус уже не прошел, но ловкач заволокитил расследование на критически важные восемь дней. Компании достался утешительный приз в виде постановлении о признании ее потерпевшей и эфемерной надежды, что когда-нибудь злодей все-таки будет пойман.
Помощь адвоката абсолютно необходима, если преступлением компании нанесен ущерб, который хотелось бы возместить. Без квалифицированного адвокатского сопровождения добиться этой цели можно лишь чисто случайно 10 . В любом случае услуги адвоката обходятся куда дешевле многомиллионного ущерба.
И наконец, еще один очень важный момент. Часто все усилия службы безопасности компании 11 заканчиваются в момент, когда справедливость вроде бы восторжествовала. Злоумышленник с дружками отловлены дружными усилиями правоохранительных органов. Собранные доказательства настолько полны, что решение суда не вызывает сомнений. И приговор оправдывает самые смелые ожидания сторонников справедливости – злодеи признаны виновными, получили тюремный срок 12 , и на них возложена обязанность возместить в полном объеме c нанесенный компании ущерб.
Розовый туман рассеивается, когда приговор вступает в законную силу. Такие тихие, раскаявшиеся, на все готовые злодеи выражают компании свои соболезнования, но возместить ущерб пока не могут по уважительной причине. Денег нет от слова «совсем». Конечно же, молодые люди не отказываются от исполнения приговора суда, просто надо немного подождать. Вот как только деньги будут – так сразу. А пока, извините, никак не можем, самим деньги нужны.
В нашей стране эта ситуация становится для компании тупиком. Все имущество мошенников к этому моменту давно уже выведено из их владения и переписано на подставных лиц. Остается надеяться на помощь Федеральной службы судебных приставов, работники которой уж точно взыщут негодяев денежки! Не сразу конечно, как только у них деньги будут – так сразу. А сейчас извините, денег нет.
Некоторые горячие головы в такой ситуации готовы прибегать к откровенно криминальным методам «выбивания долгов», рискуя при этом сами попасть под суд. Однако гораздо проще взыскать все похищенные у компании средства до суда, на стадии предварительного следствия. После изучения под руководством следователя статьи 61 Уголовного кодекса у злодеев появляется вполне разумное желание обзавестись смягчающим уголовную ответственность обстоятельством, добровольно до суда выплатив всю свою задолженность. Деньги при этом находятся воистину волшебными способами. И только на этой стадии возможна полная компенсация ущерба. При вынесении приговора суд может учесть факт возмещения или невозмещения ущерба, а получать реальный срок лишения свободы вместо условного злодеям что-то не хочется.
1 В особенности в странах англо-саксонской правовой системы.
2 Известный автору рекорд получения такой санкции – 23 дня с момента инцидента. Генеральный директор обворованной компании не пожелал из-за такой мелочи прервать турне по филиалам.
3 В дальнейшем – УПК.
4 Официальная формулировка – 3 суток, в исключительных случаях до 10 суток. На самом же деле, с точки зрения правоохранительных органов, каждое криминальное происшествие в чём-то исключительно.
5 National Infrastructure Protection Center, или Национальный центр по защите инфраструктуры США, - американская правительственная организация, предназначенная для оказания содействия бизнес-структурам в обеспечении конфиденциальности. В настоящее время вошла в состав Министерства национальной безопасности в качестве департамента.
6 Внештатные сотрудники полиции действуют гласно и не имеют никакого отношения к оперативно-розыскной деятельности. Подробно об этом можно узнать, например, из Приказа Министерства внутренних дел Российской Федерации от 10 января 2012 г. № 8 г. «Об утверждении Инструкции по организации деятельности внештатных сотрудников полиции».
7 Обычно это начальник службы безопасности компании или кто-либо из его заместителей.
8 Имеется в виду не «изучение» в целях получения положительной оценки на экзамене, а настоящее изучение, после которого полученные знания могут быть использованы на практике.
9 Название этой структуры опущено, так как после вмешательства адвоката ее руководство исправило ошибки своего подчиненного.
10 Автору известно несколько таких чудесных случаев. Без черной магии дело обошлось лишь дважды – в первом случае за наказанием группы злоумышленников последовала тихая свадьба дежурной в ночь инцидента специалистки по ИБ с руководителем следственно-оперативной группы, а во втором столь же тихая защита кандидатской диссертации.
11 И финансирование услуг адвоката.
12 Как правило, условный.
