От вирусной атаки никто не застрахован, но минимизировать риски для бизнеса можно

Евгений Евтехов

Интервью   |   ВЫПУСК №7 (ИЮЛЬ, 2017)

 

27 июня Украину накрыла мощнейшая хакерская атака. Вирусом Petya.A (mbr locker 256), который шифрует информацию на жестком диске, были поражены как государственные, так и частные предприятия. С какими сложностями после заражения столкнулись отечественные предприниматели и как защититься от хакерских атак — пытались выяснить у Евгения Евтехова, старшего юриста, адвоката компании HLB UKRAINE

Евгений Евтехов,
страший юрист, адвокат компании HLB UKRAINE

 

ФДК. Финансовый директор: Евгений, как Вы оцениваете последствия вируса Petya.A для бизнес-сектора?

Евгений Евтехов: Я бы выделил два типа последствий: финансовые и организационные. Финансовые можно будет охарактеризовать известной поговоркой: «если проблему можно решить за деньги, это не проблема, это — расходы». По сообщениям партнеров и клиентов на данном этапе идет работа по восстановлению утерянных данных. У кого-то — быстрее и успешнее, у кого-то — медленнее и с меньшей результативностью. Пока что основные расходы — это оплата работы ІТ-специалистов. Не исключаю, что кто-то мог потерять и ценные данные (проект, отчет), если хранил их в единственном экземпляре без резервных копий, но такая беспечность и без вируса сама по себе рискованная. Гипотетически есть риск не уложиться в предельные сроки регистрации налоговых накладных в Едином реестре налоговых накладных (далее — ЕРНН) и получить штраф в размере 10% от суммы налога.

 

О каких-то конкретных суммах убытков мне на сегодняшний день не известно из достоверных источников, хотя источники политизированные говорят о миллиардных убытках. С другой стороны, субъекты бизнес-сектора, даже те, которые не пострадали, вынуждены сделать организационные выводы о необходимости регулярного резервного копирования, облачного хранения, повышения уровня знаний у сотрудников и иных способов диверсификации рисков.

 

ФДК: В чем заключалась цель, которую преследовали распространители вируса-вымогателя?

Е. Е.: Сомневаюсь, что на этот вопрос можно ответить однозначно. И вот почему. Достоверной статистической информации в отношении того, сколько заработали вымогатели, — нет. По информации из одних источников всего им удалось заработать несколько десятков тысяч долларов, другие источники сообщают о суммах иного порядка. Слухи же ходят просто фантастические. Также озвучена информация о том, что у авторов вируса нет технической возможности дешифровать данные. Таким образом, по совокупности критериев более правдоподобной выглядит версия о том, что этот вирус создавался не для непосредственного обогащения разработчиков, а для решения задач по выведению из строя информационных систем.

 

ФДК: Какие штрафы грозят за несвоевременную подачу отчетности?

Е. Е.: В соответствии с положениями Налогового кодекса Украины (НКУ), за первый случай несвоевременной подачи отчетности налагается штраф в размере 170 грн, а за повторное нарушение в течение года — 1020 грн. Аналогичные положения содержит и Закон Украины «О сборе и учете единого взноса на общеобязательное государственное социальное страхование». И все же в данном контексте скорее обращает на себя внимание ст. 120-1 НКУ, предусматривающая штрафы от 10 до 40% суммы налога, указанной в несвоевременно зарегистрированной налоговой накладной.

 

ФДК: Насколько вероятны штрафы со стороны ГФС за несвоевременную сдачу отчетности именно из-за хакерской атаки?

Е. Е.: На данном этапе вероятность для даже вынужденно нарушивших лиц высока. Так, пострадавшие и условно пострадавшие стараются готовить почву для отражения претензий со стороны контролирующих органов: обращаются с заявлениями о преступлении в органы Нацполиции, составляют внутренние документы по предприятию, подают в налоговую уведомления о невозможности регистрации налоговой накладной, обращаются в Торгово-промышленную палату (далее — ТПП) с соответствующими заявлениями. Однако по неофициальной информации ТПП пока не готова признавать произошедшие события форс-мажором и выдавать сертификаты, ссылаясь на отсутствие соответствующего решения Кабинета Министров Украины. Таким образом, с точки зрения налоговых органов — это не форс-мажор и не обстоятельства, не зависящие от воли налогоплательщика, а частный случай поломки техники или программного обеспечения, который не снимает ответственности с плательщика. Такое положение дел в целом соответствует формальному фискальному подходу.

 

ФДК: Есть информация, что на заседании Кабмина одобрили изменения в законодательстве, которые снимут ответственность с пострадавших компаний из-за кибератаки. Скажите, насколько это возможно?

Е. Е.: Информация есть, но она пока не подтверждена. Сам по себе вопрос предполагает наличие дуализма. С одной стороны — массовость и стихийность явления, ведь не устояли даже государственные органы и гипотетически весьма защищенные субъекты. С другой — потенциальная возможность появления схем, по которым в указанное окно возможностей постараются втиснуть любые незарегистрированные накладные за релевантный период. Если дать волю фантазии, то вполне можно представить сценарий с налоговой накладной, пролежавшей год, эмитент которой впоследствии будет освобожден от 40%-го штрафа. Но это скорее будет вопрос к несовершенной судебной системе.

 

ФДК: Каким образом налогоплательщик может доказать свою непричастность к нарушению сроков сдачи отчетности? Каким должен быть алгоритм его действий?

Е. Е.: На данном этапе алгоритм есть, но он будет неполным до момента принятия политического решения о том, имели ли место обстоятельства непреодолимой силы. Уверенности в позитивном разрешении вопроса нет, но при наличии желания в будущем ссылаться на обстоятельства форс-мажора следует действовать таким образом. Необходимо обратиться с заявлением (уведомлением) о совершении уголовного правонарушения в органы Нацполиции. Рекомендую в таком заявлении указать ссылки на ст. 214 Уголовного процессуального кодекса Украины, ст.ст. 361, 361-1 Уголовного кодекса Украины, а также дату заражения компьютера вирусом, количество зараженных терминалов, пострадавшее ПО, факт вымогательства денежных средств, если такой имел место. Далее следует получить документ, подтверждающий внесение производства в Единый реестр досудебных расследований (далее — ЕРДР).

 

Здесь нужно обратить внимание на то, что по закону запись в реестре должна появиться в течение суток с момента предоставления заявления. При подаче заявления следует получить номер телефона, по которому можно будет узнать исполнителя по заявлению, а у него в дальнейшем уточнить, внесена ли запись в ЕРДР. Если на протяжении указанных суток в ЕРДР запись не появилась (сейчас не редки случаи, когда подобные заявления направляют рассматривать участковым в порядке обращения граждан), необходимо в 10-дневный срок с момента истечения первых суток с момента подачи обратиться к следственному судье районного суда с жалобой на действия следователя и требованием обязать его зарегистрировать уголовное правонарушение в ЕРДР.

 

Параллельно стоит обратиться в налоговую инспекцию по месту учета с уведомлением о невозможности регистрации налоговых накладных или подачи отчетности. Далее составить внутренние документы по предприятию: докладные на руководителя от бухгалтера и ІТ-специалиста с детальным описанием событий (дата происшествия, какой терминал и какое ПО пострадало, какие действия заблокированы, вымогались ли деньги, какие меры приняты и т.п.). Затем надо обратиться в ТПП в соответствии с Регламентом удостоверения ТПП Украины и региональными ТПП форс-мажорных обстоятельств (обстоятельств непреодолимой силы). В результате должен быть получен сертификат, который будет основанием для списания безнадежного налогового долга (он включает финансовые санкции и пеню) на основании пп. 14.1.39, пп. 14.1.175, п. 101.1, пп. 101.2.4 НКУ. Но, как уже отмечалось, перспектива получения данного сертификата в рассматриваемой ситуации пока под вопросом.

 

ФДК: Скажите, что делать тем предприятиям, которые не обращались в полицию, есть ли у них шансы доказать форс-мажорные обстоятельства?

Е. Е.: Изначально шансы обратившихся в Нацполицию оценивались как высокие, так как по Регламенту ТПП противоправные действия третьих лиц являются самостоятельным видом форс-мажора, которые предполагалось подтвердить доказательствами о внесении информации в ЕРДР. Те, кто не обратился и не собирается этого делать, могут надеяться, к примеру, на то, что релевантное решение правительства признает вирусную атаку диверсией или чем-то подобным, что будет основанием для получения сертификата ТПП. Но это будет в достаточной степени зависеть от того, как именно сформулирует свое постановление правительство, если оно его примет. Резюмируя кратко: у тех, кто не обратился в полицию, шансы значительно ниже.

 

ФДК: Скажите, как предприятие может защитить свои данные от разного рода вирусных атак в дальнейшем?

Е. Е.: Главное сделать правильные организационные выводы. Большинство экспертов сходятся во мнении, что наибольшую угрозу несут действия персонала, открывающего сомнительные ссылки в соцсетях, электронной почте и при просмотре сайтов запускают подозрительные программы и т.п. Повышение среднего показателя элементарной компьютерной грамотности (благодаря тренингам, вследствие информирования в приказном порядке, личного примера, с помощью информационных табличек) существенно снизит риск. Это, как правила гигиены — от периодических ЧП не защищают, но повышают общую благоприятность ситуации. Помимо прочего, организационные выводы должны коснуться резервного копирования — внедрение нескольких параллельных и технически отличных носителей резервной информации, к примеру, резервный жесткий диск и облачное хранение, а также установление и неизбежное соблюдение периодичности резервного копирования. Для больших объемов важных данных возможно даже несколько раз в день.

 

ФДК: Насколько судебная практика по вопросам обжалования штрафов от ГФС распространена в Украине и насколько она успешна?

Е. Е.: Судебная практика распространена очень широко. На сегодняшний день в судебном реестре по делам с участием органов ГФС доступно более 190 тысяч судебных решений. И эта цифра растет. Успех можно расценивать по-разному, кто-то отстаивает позицию, что сильно зависит от обстоятельств дела и грамотности подхода при ее отстаивании, кто-то выигрывает время, удерживая обязательства в статусе несогласованных, что также требует определенного профессионализма.

 

ФДК: Известны ли Вам случаи удовлетворения судебных исков от налогоплательщиков, пострадавших от хакерской атаки?

Е. Е.: Что касается именно хакерской атаки, сложно комментировать практику, т.к. ее крайне мало и она нерелевантная. Ее, скорее всего, мы сможем увидеть приблизительно через полгода и тогда уже можно будет откомментировать это более предметно. Анализ нынешней практики указывает на то, что плательщики сталкиваются с существенными проблемами доказывания факта вмешательства в работу системы, временного отрезка такого вмешательства и причинно-следственной связи между вмешательством и бездействием плательщика.

 

ФДК: Евгений, по-Вашему, должны ли быть разработаны какие-то механизмы для того, чтобы избежать ситуаций, в которой оказались пострадавшие от атаки предприниматели?

Е. Е.: Идея не нова. Департамент киберполиции в своем последнем воплощении существует с конца 2015 года. Желание же создать какой-то новый орган по волнующей проблеме — это нормальная реакция общества в стиле «надо же что-то делать». Думаю, что указанный Департамент не исчерпал своих возможностей в организационном плане, но эффективность его работы, техническое оснащение и квалификация персонала, вероятнее всего, может быть предметом дискуссии.

 

Интервью подготовила

Мария Пенделеева