Security Lab

Интервью с Евгением Царевым

Интервью с Евгением Царевым

Добрый день, Евгений. Мне посоветовали связаться с вами как со специалистом, который участвует в Арбитражных судах в качестве эксперта по информационной безопасности. Расскажите немного про себя. Как пришли в эту историю?

В области информационной безопасности я работаю 11 лет. Занимался аудитами информационной безопасности, защитой персональных данных (куда без них), последние годы больше работал с банками, также по тематике информационной безопасности.

Жизнь так сложилась, что примерно 2 года назад начались судебные разбирательства в одной из компаний. Ничего серьезного, просто гражданские споры, однако их было очень много. Я как-то посчитал, что за 2015 год у меня было 32 суда, включая апелляции.

Таким образом, я поневоле окунулся в судебную атмосферу, разобрался с основными процедурами, заказывал и делал отзывы на заключения экспертов. В результате, когда по одному из дел мне предложили подготовить заключение для суда в качестве эксперта по информационной безопасности, я уже понимал каким заключение должно быть, чтобы суд его принял.

Вы хотите сказать, что экспертизы информационной безопасности часто не принимают?

Чаще, чем вы можете себе представить. В России фактически отсутствует компетенция по подготовке экспертиз по информационной безопасности и защите информации. Технические экспертизы, такие как «анализ жесткого диска», более или менее проводятся, суды их принимают и специалисты есть. Ито многие заключения готовятся с ошибками, суды это «не любят». Фактически есть всего 2-3 организации, кто стабильно готовит качественные технические экспертизы по информационной безопасности.

Вы тоже готовите такие технические экспертизы?

Моя область компетенции – это судебно-нормативные экспертизы по информационной безопасности. Дело в том, что область информационной безопасности очень зарегулирована и сложна. Когда юрист одного из участников процесса формулирует позицию, он с вероятностью близкой к 100% не знает всех сильных и слабых сторон, как своей позиции, так и позиции противной стороны. Он физически не может изучить десятки и сотни документов, регулирующих область информационной безопасности, не может верно их интерпретировать, применить к текущей ситуации в своем процессе. Плюс нужно изучить всю практику по аналогичным делам за последние годы. Также нужно разобраться в технических нюансах конкретной ситуации. Это титанический объем работы. И даже если предположить, что юристов много, они потратили сотни человеко-часов на весь этот анализ, в результате они формулируют свою позицию, однако этого может оказаться недостаточно. Сам факт привлечения компетентного специалиста и предоставление суду корректно подготовленного заключения – это уже огромный плюс для стороны в процессе.

В чем смысл делать судебно-нормативную экспертизу, если можно сделать обычную техническую?

Вы путаете теплое с мягким. Суть технической экспертизы - установить определенные обстоятельства по делу. Допустим, у компании украли деньги с банковского счета через Интернет-банк. Компания передает свой компьютер на анализ техническим экспертам. Они проверяют компьютер и выясняют, что на компьютере были вирусы. Пишут это в заключении и передают компании.

Дальше что? Что вы будете делать с таким заключением? Судя по этому заключению, компания была виновата сама.

Нормативная экспертиза может показать, что договор с банком не перекладывал определенные риски на компанию. Или банк сам не выполняет ряд требований договора, Центрального банка, законодательства и пр. Причем нормативная экспертиза учитывает судебную практику, учитывает технические особенности системы дистанционного банкинга. Все это поможет юристам правильно сформулировать свою позицию в суде, что заметно повышает шансы на победу.

Приведите еще какой-нибудь пример.

Легко. Предположим, что некая компания-Заказчик заказала разработать и внедрить проект по информационной безопасности. Исполнителем был разработан Технический проект. В соответствии с проектом были поставлены средства защиты информации. Однако, после установки средств защиты вся ИТ-инфраструктура Заказчика отказала. Оборудование не работает или работает неправильно. Кто виноват, и что делать?

На первый взгляд может показаться, что причина кроется в ошибках при проектировании. Однако это не факт. Возможно:

  1. заказчик сменил часть оборудования в процессе внедрения. Если так, то мог ли он это делать? Планировал ли сменить оборудование ранее? Уведомил ли он об этом факте проектную организацию.
  2. были поставлены не те средства защиты (модель, версия), в результате возник конфликт. Кто осуществил закупку? Что написано в заказе и счете? Каковы условия поставки?
  3. И т.п.

Чтобы разобраться в деле, выяснить причину проблемы, и входить в процесс подготовленным, нужно проработать огромное количество материалов. Да, это можно сделать своими силами, но совсем другой разговор, если выводы будут подкреплены заключением стороннего эксперта. Каковы будут ваши шансы, если противная сторона принесет качественное заключение от опытного эксперта или экспертной организации, а вы нет?

Т.е. вы готовите экспертизы и консультируете Заказчика?

Да, верно.

А как же вопрос непредвзятости? Если вы поддерживаете одну из сторон, то как это согласуется с объективностью?

Прекрасно согласуется. Сама экспертиза всегда объективна. Смотрите, есть судебные и досудебные экспертизы. В первом случае вопросы к эксперту задает сам суд. И отчитывается эксперт перед судом. Во втором случае одна из сторон в деле может привлечь эксперта и задать ему вопросы самостоятельно. Это создает возможность для маневра именно в части формулировки вопроса. Такая экспертиза называется досудебной и может быть принята судом как самостоятельное доказательство. Например, на основании одной из моих досудебных экспертиз суд отказал противной стороне в назначении судебной экспертизы. В том деле противная сторона пыталась затянуть процесс и не платить по долгам как можно дольше. Когда судье принесли мое заключение, он с ним ознакомился и решил отказать в судебной экспертизе, т.к. мое заключение отвечало на многие вопросы, было выполнено корректно, оснований не доверять мнению эксперта у суда не было. Таким образом, мое заключение помогло взыскать более миллиона долларов примерно на 4 месяца раньше. Вот и считайте выгоду.  

Само собой если суд привлекает меня в рамках судебной экспертизы, никого из сторон по делу я консультировать не буду.

А бывают безнадежные дела? Такие, в которых выиграть нельзя?

Лично я не сталкивался с безнадежными делами. Хотя такие процессы бывают, обычно одна из сторон инициирует процесс, чтобы потянуть время. Это тоже цель. Представьте, что одна компания должна другой пару миллионов долларов.  Судебный процесс отложит выплату на несколько месяцев.

Что делать если экспертиза «не радует» заказчика?

Обычно это ясно еще до ее начала экспертизы, на этапе предварительной консультации. Если так, то нужно переформулировать вопросы.

Вы поймите, не всегда экспертизы заказывают, чтобы понести их в суд. Часто их заказывают, чтобы самим разобраться в ситуации и как можно правильнее сформулировать свою позицию в суде. Это же соревнование, выигрывает самый подготовленный.

У меня был случай, когда глава юридической службы одной из компаний не консультируясь ни с кем, в т.ч. со своей службой ИБ, инициировал процесс. Когда Директор по ИБ узнал об этом, то позвонил мне и спросил о перспективах, я сказал, что шансов почти нет, т.к. к этому этапу уже совершено много ошибок, меня попросили подключиться, но изменить уже ничего было нельзя. Сумма была восьмизначная.

Вы сталкивались неподготовленными юристами?

У каждого есть свой профиль. Кто-то занимается трудовыми спорами, кто-то поставками, знаю адвоката, который занимается исключительно вопросами травм на производстве. У каждого свой профиль.

Рецепт очень простой – привлекать профильного эксперта. Консультироваться.

Как вы оцениваете подготовку судей?

Меня иногда поражает высокий уровень подготовки некоторых судей в Арбитражных судах. Есть судьи, которые погружаются в детали глубже любого эксперта. В таких процессах очень интересно участвовать. Ты понимаешь, что судья очень опытный и компетентный, он понимает тебя.

Основная масса судей смотрит на фактические обстоятельства дела. Что реально произошло и как это согласуется с законом. Судьям значительно проще, если стороны по делу приносят какие-то экспертизы или привлекают специалистов. Суду проще разобраться в обстоятельствах.

Какие дела по информационной безопасности рассматриваются в Арбитражных судах чаще остальных?

В первую очередь это суды между банками и их клиентами, у которых похитили деньги со счета с использованием ДБО.

Много дел по некачественно оказанным услугам по ИБ и поставкам средств защиты информации, которые либо не работают, либо работают с ошибками. К слову, за большинство услуг и поставок в тематике информационной безопасности Заказчики могут не платить вовсе. Так у нас договоры заключают ;-) .

Есть дела по оспариванию существующих договоров, на основании проблем с информационной безопасностью и защитой информации. Например, Клиент может отказаться от исполнения договора, если докажет, что сторона по договору должным образом не обеспечивает безопасность.

Есть дела, связанные с фактами разглашения информации. Есть просто экспертизы Технических проектов. Разнообразие дел велико.

В качестве итога, что вы посоветуете делать компаниям, если против них подан иск с части информационной безопасности? Делать техническую экспертизу или нормативную?

Техническая и нормативная экспертизы это принципиально разные экспертизы и преследуют различные цели. Обычно требуются обе. Техническая экспертиза поможет разобраться с техническими деталями, а нормативная сможет их верно интерпретировать и помочь стороне по делу лучше сформулировать свою позицию.

Как правило, ко мне обращаются именно сотрудники юридических служб компаний или юридические фирмы, которые представляют своих заказчиков. Они сами понимают, что без привлечения профильного эксперта им будет сложно доказывать свою позицию. Слишком много нюансов.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!