На сайте http://ain.ua появилась серия статей Тимура Ворона, посвященных ситуации с хакерским взломом КЦ одного из украинских интернет-магазинов. Поскольку ситуация время от времени встречается, я решила опубликовать на сайте всю информацию по данному вопросу. Она может быть полезной, поскольку, с одной стороны, обратит внимание на необходимость принятия мер безопасности по защите собственного оборудования, с другой — разъяснит некоторые юридические моменты ситуации.

Интернет-магазин детских товаров Megamama.ua оказался в неприятной ситуации. Хакеры получили доступ к настройкам call-центра магазина и через IP-телефоны за ночь совершили ряд звонков за рубеж на общую сумму в 165 тыс. грн. Днепропетровский провайдер «Телемост», предоставляющий услуги связи, выставил директору Megamama.ua Борису Факторовичу счет на эту сумму. Последний не признает своей вины в случившимся, написал заявление в милицию по факту взлома, а вот кому придется оплатить телефонные разговоры неизвестных – решит суд.

По словам директора Megamama.ua Бориса Факторовича, хакеры взломали порты на роутере магазина, через роутер получили доступ к системе управления 3CX (программная АТС, которая может заменяет традиционную аппаратную телефонию), скопировали оттуда настройки и дальше подключились к «Телемосту» якобы от имени абонента.

Утром, когда менеджеры провайдера пришли на работу, они увидели несоответствующий трафик, отзвонились клиенту и выключили сервер. «В логах видно, что воровство трафика совершалось из-за рубежа, IP адреса, с которых исходили звонки принадлежат английским, палестинским и финским провайдерам. Но этот фактор, по мнению компании Телемост не снимает с нас ответственности. Технический директор компании хоть и согласился с тем, что звонки совершали не мы, но сказал, что заплатить придется именно нам», — рассказывает Факторович. «Очень удивляет тот факт, что в крупных провайдерах, система сама не блокирует подобные вторжения, а этим занимаются менеджеры, приходящие утром на работу, если заметят факт утечки трафика по одному из тысяч клиентов», — говорит директор интернет-магазина. В Megamama.ua также полагают, что утечка ключей доступа могла произойти по вине сотрудников провайдера.

Мы попросили юристов прокомментировать ситуацию и оценить перспективы сторон в судебном разбирательстве. Отвечает старший юрист практики IT и медиа права АО Юскутум Михаил Пергаменщик.

Мы имеем дело с классической схемой хакинга, которая была художественно описана Кевином Митником в его мемуарах. С появлением первых хакеров в конце прошлого века и до сегодняшнего дня выявление злоумышленников не стало легкой задачей для правоохранительных органов, а телекоммуникационные компании все еще не могут похвастаться железобетонной защитой.

Начнем с того, что согласно Закона «О телекоммуникациях» операторы обязаны принимать меры по защите и по недопущению несанкционированного доступа к своим телекоммуникационным сетям. Как мы понимаем, злоумышленники взломали клиентское оборудование, которое абонент самостоятельно устанавливал и настраивал.

Было бы нелогично возлагать на провайдера телекоммуникационных услуг или оператора, владеющего сетью, ответственность за исправность и защищенность конечного оборудования абонента.

Также, запрос, полученный оборудованием провайдера от конечного оборудования абонента, нельзя считать несанкционированным вторжением в сеть первого, поскольку использование этого конечного оборудования изначально предусмотрено договором между абонентом и провайдером. Следовательно, когда от такого конечного оборудования приходит запрос на оборудование провайдера, у последнего нет правовых оснований отказывать в запрашиваемом соединении. Исключением может быть ситуация, когда между провайдером и абонентом есть договоренность о каких-либо ограничениях, например отрицательного баланса, длительности звонков или их направлений. К примеру, статья 32 Закона предусматривает право абонента на ограничение оператором, провайдером доступа абонента к отдельным видам услуг на основании письменного заявления последнего.

В свою очередь, у абонента в отношении провайдера существуют определенные обязанности касательно его конечного оборудования. Согласно статье 33 Закона, именно абонент обязан не допускать использование конечного оборудования для противоправных действий и несанкционированного доступа к телекоммуникационной сети.

Со сложившейся ситуацией можно провести аналогию: вор украл у абонента мобильный телефон и без его ведома совершил звонки на большую сумму денег, после чего абонент заявил о случившемся оператору мобильной связи. Оператор не может достоверно знать, в какой момент времени телефоном начал пользоваться вор, поэтому все-равно выставит счет абоненту, а последний будет вынужден взыскивать эти расходы с вора в порядке регресса.

Говоря юридическим языком, в таком случае абоненту нужно написать в милицию заявление о краже телефона, и когда вора найдут и заведут на него уголовное дело, взыскать с последнего сумму оплаченного счета оператора путем подачи гражданского иска в уголовном процессе.

Но в этой ситуации есть и обратная сторона медали. Вполне логично ожидать от оператора, что он является осведомлённым о распространенных схемах мошенничества (в т.ч. IP fraud) и их признаках (длительность звонков, их направление, время соединения и т.п.). В результате, абоненту логично ожидать получение телекоммуникационных услуг на должном уровне с учетом этих знаний.

К примеру, согласно статье 32 Закона абонент имеет право на безопасность телекоммуникационных услуг. Это положение можно толковать и таким образом, что провайдер обязаны внедрять по своей части такие меры безопасности, которые были бы адекватными уязвимостям и проблемам, хорошо известным в данной индустрии, так называемые «передовые практики» («best practices»).

В таком же духе можно толковать и ранее упомянутую обязанность операторов принимать меры по недопущению несанкционированного доступа к своим телекоммуникационным сетям. В таком случае, можно говорить о том, что организационные и технические меры по предотвращению явно мошеннических схем должны входить в понятие надлежащего качества телекоммуникационных услуг.

Напоследок можно сказать, что выбор судом той или иной позиции может зависеть, в частности, от технических нюансов совершенной хакерской атаки на конечное оборудование абонента.