14.07.2016

»нтервью с ≈вгением ÷аревым

image

ƒобрый день, ≈вгений. ћне посоветовали св€затьс€ с вами как со специалистом, который участвует в јрбитражных судах в качестве эксперта по информационной безопасности. –асскажите немного про себ€.  ак пришли в эту историю?

¬ области информационной безопасности € работаю 11 лет. «анималс€ аудитами информационной безопасности, защитой персональных данных (куда без них), последние годы больше работал с банками, также по тематике информационной безопасности.

∆изнь так сложилась, что примерно 2 года назад начались судебные разбирательства в одной из компаний. Ќичего серьезного, просто гражданские споры, однако их было очень много. я как-то посчитал, что за 2015 год у мен€ было 32 суда, включа€ апелл€ции.

“аким образом, € поневоле окунулс€ в судебную атмосферу, разобралс€ с основными процедурами, заказывал и делал отзывы на заключени€ экспертов. ¬ результате, когда по одному из дел мне предложили подготовить заключение дл€ суда в качестве эксперта по информационной безопасности, € уже понимал каким заключение должно быть, чтобы суд его прин€л.

¬ы хотите сказать, что экспертизы информационной безопасности часто не принимают?

„аще, чем вы можете себе представить. ¬ –оссии фактически отсутствует компетенци€ по подготовке экспертиз по информационной безопасности и защите информации. “ехнические экспертизы, такие как Ђанализ жесткого дискаї, более или менее провод€тс€, суды их принимают и специалисты есть. »то многие заключени€ готов€тс€ с ошибками, суды это Ђне люб€тї. ‘актически есть всего 2-3 организации, кто стабильно готовит качественные технические экспертизы по информационной безопасности.

¬ы тоже готовите такие технические экспертизы?

ћо€ область компетенции Ц это судебно-нормативные экспертизы по информационной безопасности. ƒело в том, что область информационной безопасности очень зарегулирована и сложна.  огда юрист одного из участников процесса формулирует позицию, он с веро€тностью близкой к 100% не знает всех сильных и слабых сторон, как своей позиции, так и позиции противной стороны. ќн физически не может изучить дес€тки и сотни документов, регулирующих область информационной безопасности, не может верно их интерпретировать, применить к текущей ситуации в своем процессе. ѕлюс нужно изучить всю практику по аналогичным делам за последние годы. “акже нужно разобратьс€ в технических нюансах конкретной ситуации. Ёто титанический объем работы. » даже если предположить, что юристов много, они потратили сотни человеко-часов на весь этот анализ, в результате они формулируют свою позицию, однако этого может оказатьс€ недостаточно. —ам факт привлечени€ компетентного специалиста и предоставление суду корректно подготовленного заключени€ Ц это уже огромный плюс дл€ стороны в процессе.

¬ чем смысл делать судебно-нормативную экспертизу, если можно сделать обычную техническую?

¬ы путаете теплое с м€гким. —уть технической экспертизы - установить определенные обсто€тельства по делу. ƒопустим, у компании украли деньги с банковского счета через »нтернет-банк.  омпани€ передает свой компьютер на анализ техническим экспертам. ќни провер€ют компьютер и вы€сн€ют, что на компьютере были вирусы. ѕишут это в заключении и передают компании.

ƒальше что? „то вы будете делать с таким заключением? —уд€ по этому заключению, компани€ была виновата сама.

Ќормативна€ экспертиза может показать, что договор с банком не перекладывал определенные риски на компанию. »ли банк сам не выполн€ет р€д требований договора, ÷ентрального банка, законодательства и пр. ѕричем нормативна€ экспертиза учитывает судебную практику, учитывает технические особенности системы дистанционного банкинга. ¬се это поможет юристам правильно сформулировать свою позицию в суде, что заметно повышает шансы на победу.

ѕриведите еще какой-нибудь пример.

Ћегко. ѕредположим, что нека€ компани€-«аказчик заказала разработать и внедрить проект по информационной безопасности. »сполнителем был разработан “ехнический проект. ¬ соответствии с проектом были поставлены средства защиты информации. ќднако, после установки средств защиты вс€ »“-инфраструктура «аказчика отказала. ќборудование не работает или работает неправильно.  то виноват, и что делать?

Ќа первый взгл€д может показатьс€, что причина кроетс€ в ошибках при проектировании. ќднако это не факт. ¬озможно:

  1. заказчик сменил часть оборудовани€ в процессе внедрени€. ≈сли так, то мог ли он это делать? ѕланировал ли сменить оборудование ранее? ”ведомил ли он об этом факте проектную организацию.
  2. были поставлены не те средства защиты (модель, верси€), в результате возник конфликт.  то осуществил закупку? „то написано в заказе и счете?  аковы услови€ поставки?
  3. » т.п.

„тобы разобратьс€ в деле, вы€снить причину проблемы, и входить в процесс подготовленным, нужно проработать огромное количество материалов. ƒа, это можно сделать своими силами, но совсем другой разговор, если выводы будут подкреплены заключением стороннего эксперта.  аковы будут ваши шансы, если противна€ сторона принесет качественное заключение от опытного эксперта или экспертной организации, а вы нет?

“.е. вы готовите экспертизы и консультируете «аказчика?

ƒа, верно.

ј как же вопрос непредвз€тости? ≈сли вы поддерживаете одну из сторон, то как это согласуетс€ с объективностью?

ѕрекрасно согласуетс€. —ама экспертиза всегда объективна. —мотрите, есть судебные и досудебные экспертизы. ¬ первом случае вопросы к эксперту задает сам суд. » отчитываетс€ эксперт перед судом. ¬о втором случае одна из сторон в деле может привлечь эксперта и задать ему вопросы самосто€тельно. Ёто создает возможность дл€ маневра именно в части формулировки вопроса. “ака€ экспертиза называетс€ досудебной и может быть прин€та судом как самосто€тельное доказательство. Ќапример, на основании одной из моих досудебных экспертиз суд отказал противной стороне в назначении судебной экспертизы. ¬ том деле противна€ сторона пыталась зат€нуть процесс и не платить по долгам как можно дольше.  огда судье принесли мое заключение, он с ним ознакомилс€ и решил отказать в судебной экспертизе, т.к. мое заключение отвечало на многие вопросы, было выполнено корректно, оснований не довер€ть мнению эксперта у суда не было. “аким образом, мое заключение помогло взыскать более миллиона долларов примерно на 4 мес€ца раньше. ¬от и считайте выгоду. †

—амо собой если суд привлекает мен€ в рамках судебной экспертизы, никого из сторон по делу € консультировать не буду.

ј бывают безнадежные дела? “акие, в которых выиграть нельз€?

Ћично € не сталкивалс€ с безнадежными делами. ’от€ такие процессы бывают, обычно одна из сторон инициирует процесс, чтобы пот€нуть врем€. Ёто тоже цель. ѕредставьте, что одна компани€ должна другой пару миллионов долларов.† —удебный процесс отложит выплату на несколько мес€цев.

„то делать если экспертиза Ђне радуетї заказчика?

ќбычно это €сно еще до ее начала экспертизы, на этапе предварительной консультации. ≈сли так, то нужно переформулировать вопросы.

¬ы поймите, не всегда экспертизы заказывают, чтобы понести их в суд. „асто их заказывают, чтобы самим разобратьс€ в ситуации и как можно правильнее сформулировать свою позицию в суде. Ёто же соревнование, выигрывает самый подготовленный.

” мен€ был случай, когда глава юридической службы одной из компаний не консультиру€сь ни с кем, в т.ч. со своей службой »Ѕ, инициировал процесс.  огда ƒиректор по »Ѕ узнал об этом, то позвонил мне и спросил о перспективах, € сказал, что шансов почти нет, т.к. к этому этапу уже совершено много ошибок, мен€ попросили подключитьс€, но изменить уже ничего было нельз€. —умма была восьмизначна€.

¬ы сталкивались неподготовленными юристами?

” каждого есть свой профиль.  то-то занимаетс€ трудовыми спорами, кто-то поставками, знаю адвоката, который занимаетс€ исключительно вопросами травм на производстве. ” каждого свой профиль.

–ецепт очень простой Ц привлекать профильного эксперта.  онсультироватьс€.

 ак вы оцениваете подготовку судей?

ћен€ иногда поражает высокий уровень подготовки некоторых судей в јрбитражных судах. ≈сть судьи, которые погружаютс€ в детали глубже любого эксперта. ¬ таких процессах очень интересно участвовать. “ы понимаешь, что судь€ очень опытный и компетентный, он понимает теб€.

ќсновна€ масса судей смотрит на фактические обсто€тельства дела. „то реально произошло и как это согласуетс€ с законом. —удь€м значительно проще, если стороны по делу принос€т какие-то экспертизы или привлекают специалистов. —уду проще разобратьс€ в обсто€тельствах.

 акие дела по информационной безопасности рассматриваютс€ в јрбитражных судах чаще остальных?

¬ первую очередь это суды между банками и их клиентами, у которых похитили деньги со счета с использованием ƒЅќ.

ћного дел по некачественно оказанным услугам по »Ѕ и поставкам средств защиты информации, которые либо не работают, либо работают с ошибками.   слову, за большинство услуг и поставок в тематике информационной безопасности «аказчики могут не платить вовсе. “ак у нас договоры заключают ;-) .

≈сть дела по оспариванию существующих договоров, на основании проблем с информационной безопасностью и защитой информации. Ќапример,  лиент может отказатьс€ от исполнени€ договора, если докажет, что сторона по договору должным образом не обеспечивает безопасность.

≈сть дела, св€занные с фактами разглашени€ информации. ≈сть просто экспертизы “ехнических проектов. –азнообразие дел велико.

¬ качестве итога, что вы посоветуете делать компани€м, если против них подан иск с части информационной безопасности? ƒелать техническую экспертизу или нормативную?

“ехническа€ и нормативна€ экспертизы это принципиально разные экспертизы и преследуют различные цели. ќбычно требуютс€ обе. “ехническа€ экспертиза поможет разобратьс€ с техническими детал€ми, а нормативна€ сможет их верно интерпретировать и помочь стороне по делу лучше сформулировать свою позицию.

 ак правило, ко мне обращаютс€ именно сотрудники юридических служб компаний или юридические фирмы, которые представл€ют своих заказчиков. ќни сами понимают, что без привлечени€ профильного эксперта им будет сложно доказывать свою позицию. —лишком много нюансов.

или введите им€

CAPTCHA