вимкнути дудлвключити дудл

Скандал навколо Megamama.ua: Юристи розповіли, хто повинен сплатити розмови хакерів, AIN, коментар Михайла Пергаменщика

Опубліковано мовою оригіналу.

Несколько дней назад на AIN.UA выходил материал про взлом call-центра интернет-магазина Megamama.ua. Речь шла о том, что хакеры получили доступ к настройкам call-центра магазина и через IP-телефоны за ночь совершили ряд звонков за рубеж на общую сумму в 165 тыс грн. Директор Megamama.ua Борис Факторович отказался оплачивать счет, выставленный днепропетровским провайдером «Телемост», мотивируя это тем, что звонки совершали не они, следовательно, платить они не обязаны.

В свою очередь, «Телемост» уже заплатил «Киевстару», который предоставляет им выход на международную связь, 145 тыс грн за эти разговоры и сейчас намерен отсудить эту сумму у Факторовича. Мы попросили юристов прокомментировать ситуацию и оценить перспективы сторон в судебном разбирательстве. Отвечает юрист практики IT и медиа права АО Юскутум Михаил Пергаменщик.

Мы имеем дело с классической схемой хакинга, которая была художественно описана Кевином Митником в его мемуарах. С появлением первых хакеров в конце прошлого века и до сегодняшнего дня выявление злоумышленников не стало легкой задачей для правоохранительных органов, а телекоммуникационные компании все еще не могут похвастаться железобетонной защитой.

Начнем с того, что согласно Закона «О телекоммуникациях» операторы обязаны принимать меры по защите и по  недопущению несанкционированного доступа к своим телекоммуникационным сетям. Как мы понимаем, злоумышленники взломали клиентское оборудование, которое абонент самостоятельно устанавливал и настраивал.

Было бы нелогично возлагать на провайдера телекоммуникационных услуг или оператора, владеющего сетью, ответственность за исправность и защищенность конечного оборудования абонента.
Также, запрос, полученный оборудованием провайдера от конечного оборудования абонента, нельзя считать несанкционированным вторжением в сеть первого, поскольку использование этого конечного оборудования изначально предусмотрено договором между абонентом и провайдером. Следовательно, когда от такого конечного оборудования приходит запрос на оборудование провайдера, у последнего нет правовых оснований отказывать в запрашиваемом соединении. Исключением может быть ситуация, когда между провайдером и абонентом есть договоренность о каких-либо ограничениях, например отрицательного баланса, длительности звонков или их направлений. К примеру, статья 32 Закона предусматривает право абонента на ограничение оператором, провайдером доступа абонента к отдельным видам услуг на основании письменного заявления последнего.

В свою очередь, у абонента в отношении провайдера существуют определенные обязанности касательно его конечного оборудования. Согласно статье 33 Закона, именно абонент обязан не допускать использование конечного оборудования для противоправных действий и несанкционированного доступа к телекоммуникационной сети.

Со сложившейся ситуацией можно провести аналогию: вор украл у абонента мобильный телефон и без его ведома совершил звонки на большую сумму денег, после чего абонент заявил о случившемся оператору мобильной связи. Оператор не может достоверно знать, в какой момент времени телефоном начал пользоваться вор, поэтому все-равно выставит счет абоненту, а последний будет вынужден взыскивать эти расходы с вора в порядке регресса.

Говоря юридическим языком, в таком случае абоненту нужно написать в милицию заявление о краже телефона, и когда вора найдут и заведут на него уголовное дело, взыскать с последнего сумму оплаченного счета оператора путем подачи гражданского иска в уголовном процессе.

Но в этой ситуации есть и обратная сторона медали. Вполне логично ожидать от оператора, что он является осведомлённым в распространенных схемах мошенничества (в т.ч. IP fraud) и их признаках (длительность звонков, их направление, время соединения и т.п.). В результате, абоненту логично ожидать получение телекоммуникационных услуг на должном уровне с учетом этих знаний.

К примеру, согласно статье 32 Закона абонент имеет право на безопасность телекоммуникационных услуг. Это положение можно толковать таким образом, что провайдер обязан внедрять по своей части такие меры безопасности, которые были бы адекватными уязвимостям и проблемам, хорошо известным в данной индустрии, так называемые «передовые практики» («best practices»).

В таком же духе можно толковать и ранее упомянутую обязанность операторов принимать меры по недопущению несанкционированного доступа к своим телекоммуникационным сетям. В таком случае, можно говорить о том, что организационные и технические меры по предотвращению явно мошеннических схем должны входить в понятие надлежащего качества телекоммуникационных услуг.

Напоследок можно сказать, что выбор судом той или иной позиции может зависеть, в частности, от технических нюансов совершенной хакерской атаки на конечное оборудование абонента.

По материалам ain