вимкнути дудлвключити дудл

У «АТБ» розкрили зловмисника, який торгував аналітикою мережі: юридичні аспекти розслідування. Олександр Горобець

Співробітники Нацполіціі, кіберполіції та служби безпеки торгової мережі «АТБ» викрили співробітника, який передавав конфіденційну інформацію представникам інших рітейлерів. Це перший подібний кейс в Нацполіціі, доведений до суду.

Хто в компанії повинен підписувати договір про нерозголошення комерційної таємниці? А якщо договір не був підписаний, чи несе підозрюваний кримінальну відповідальність за торгівлю інформацією? Правоохоронці зі службою безпеки спрацювали блискуче, чого очікуємо в суді?

Як «зловили за руку»?

У захисті конфіденційної інформації спрацювала служба безпеки мережі дискаунтерів «АТБ» спільно з департаментом кіберполіції. Використовуючи компетенції Нацполіціі, була можливість отримати дані за IP-адресами, звідки «зливалася» інформація, з якою періодичністю, в яких обсягах і найцікавіше – зміст цієї інформації. Інший важливий аспект – це прив’язка інформації безпосередньо до особи. Визначити зв’язок особи з конкретним комп’ютером та електронною поштою набагато простіше, якщо ящик пошти прив’язаний до мобільного телефону. кіберполіція перевіряє мобільний телефон користувача і ідентифікує особу за номером і вхідних/вихідних дзвінків. Але з цим буває не так гладко, тому головний доказ – це сам комп’ютер, з якого проводилися пересилання інформації. За допомогою точки підключення в Інтернет – це Wi-Fi або картка – визначають, куди виходив цей комп’ютер.

Зміст нерозголошуваної інформації безпосередньо на комп’ютері і підв’язка цього комп’ютера до телефону дає можливість відстежити зв’язок. Якщо з конкретного електронного ящика велося листування з іншими – це серйозний аргумент.

Наступний етап розслідування служби безпеки і кіберполіції – вибудовувати місток між особою, комп’ютером і пересиланням, а також фактом надходження інформації з «АТБ» на цей комп’ютер. Особа сама видобувала цю інформацію через відкритий доступ, використовуючи своє службове становище. Важливо визначити, що цю інформацію він добував внаслідок якихось активних дій зі свого боку з використанням високопрофесійного рівня комп’ютерної техніки, або внаслідок посадового становища, або з огляду на недоліки в системі побудови безпеки самої компанії.

Що називають комерційною таємницею в рітейлі

Важливий аспект – це статус інформації. Чи дійсно вона є комерційною таємницею? У рітейлі комерційною таємницею може бути інформація про постачальників, про асортимент продукції, про ціни, відстрочки платежів, які застосовує даний рітейлер.

І найцікавіше – це, звичайно ж, попит на групи товарів залежно від сезонності, яка відбувається у рітейлера. Потім інформація по рітейлеру і за попитом – аналітика по місцях торгівлі, по містах, по місцевостях, за часом. Таку аналітику ведуть в даній галузі. Все це також може бути використано конкурентами.

Чи можуть за IP-адресою визначити, кому передавалася ця інформація і чи скористається конкурент нею якось у своїй роботі? Одне питання – зловити людину, яка добувала інформацію і передавала її в корисливих цілях або з інших мотивів. А інше – кому з конкурентів ця інформація була цікавою. Про це в статті Кримінального кодексу не йдеться. Але це той момент, в якому десятка не існує тільки з нуликом, десятці потрібна одиничка. Тому, кому ця інформація передалася, хто був зацікавлений в ній – це другий момент. Звичайно ж, можуть і не зацікавити, і не знайти ту заінтересовану особа. Але, якщо департамент кіберполіції знайшов людину, то для них не складе великих труднощів зрозуміти, куди йшла інформація і яка поштова скринька цю інформацію приймала. Зрозуміло, це може бути поза межами України.

Як залежить розмір штрафу від суми збитку компанії?

Якщо ми подивимося на санкцію ст. 232 Кримінального кодексу «Розголошення комерційної таємниці», то тут вказується штраф від тисячі до трьох неоподатковуваних мінімумів, з позбавленням права обіймати певні посади. У статті зазначено просто – «Істотна шкода».

Ризики розголошення комерційної таємниці найбільш поширені в сфері торгівлі, яка стосується грошей, обороту, попиту на товари. Можуть зацікавитися базами даних споживачів банківських послуг, по кредитах, як і тим, хто, коли і які кредити отримував по банкам. Дуже цікава інформація по оборотам коштів – зокрема, у якого підприємства які виручки.

З юридичної точки зору, кожен співробітник, вступаючи на роботу, повинен підписувати документ зобов’язання нерозголошення комерційної таємниці. Зрозуміло, якщо такий документ підписаний, то, відповідно, співробітник бере на себе зобов’язання, і, в разі встановлення витоку інформації через нього, він підлягає відповідальності, в даному випадку – кримінальної. Сама компанія визначає розмір збитку. На практиці ж такий документ часто не підписують, тим більше в рітейлі.

Швидше за все, згаданий чоловік навіть не був співробітником «АТБ» і не підписував документ про нерозголошення. Тоді він іменується суб’єктивною стороною і доводиться тим, що він повинен був розуміти, які бази даних, яку інформацію він отримує, яку інформацію продає, передає і поширює. Тому що поширення – це поділитися в письмовому, електронному вигляді, або відксерити більше, ніж одній особі. Тому не тільки безпосередні працівники є суб’єктами, які можуть підлягати відповідальності за цією статтею, а й ті люди, які волею випадку отримали доступ до потрібної бази. Припустимо, будь-яка людина знайшла флешку, компакт-диск з цінною інформацією і вирішила її продати – все це і називається розповсюдженням.

Як питання вирішиться в суді

У випадку з історією «АТБ», якщо у обвинуваченої особи немає захисту – то, швидше за все, для неї найреальнішим виходом може бути угода з прокурором про визнання провини. Тоді їй визначать мінімальний штраф. У обвинуваченого це питання буде закрите швидко – буквально за тиждень. Це перший сценарій подій. Швидше за все, у нього є захисник, він буде чинити опір і виходити на виправдувальний вирок. Важливий момент – це якщо інформація, яка передавалася, не є комерційною таємницею, ще один варіант – якщо вона передавалася не ним. Якщо тут технічна сторона прописана якісно і визначений шлях проходження інформації, а також чітко прив’язаний телефон безпосередньо до особи.

Останнім часом на обшуках вилучають комп’ютерні мишки. Чому? Не через те, що мишка – це носій інформації, а тому що з мишок беруть проби і проводять експертизи ДНК. Тому що відбитки пальців взяти складно, а ось ДНК – це 99% ймовірності, що саме ця людина використовувала мишку, або клавіатуру, або телефон.

За другим сценарієм – коли у обвинуваченого є захисна сторона – суд може затягнутися. Якщо це київський суд, процес може бути тривалим. Якщо суд в регіоні, то це може вирішитися швидко – приблизно за півроку. Успіх кіберполіції – ще не повна перемога, чекаємо розвитку подій в суді.

Олександр Горобець, адвокат, керівник проектів Практики безпеки бізнесу ЮК Juscutum.

All Retail