Думаю, что все согласятся с тем, что в любом инциденте, так или иначе связанном с ИБ, львиная доля всех расходов ложится на пострадавшую сторону. Впрочем, расходы расходам рознь, и сейчас я хотел бы поделиться с вами довольно интересным случаем, который отыскался в Сети. Тут, на мой взгляд, вопрос с расходами совершенно не очевиден, в связи с чем и сами юристы, можно сказать, запутались в показаниях и решениях.
В 2007 году «Ростелеком» заключил договор с индивидуальным предпринимателем Татьяной Перцовкиной о предоставлении ее фирме услуг Интернет. Два года она исправно оплачивала счета, однако с апреля 2009 по август 2010 платежи от Перцовкиной не поступали. Когда «Ростелеком» обратился в суд с иском на 224,3 тыс. руб., предпринимательница платить отказалась, ссылаясь на то, что в указанное время неправомерный доступ к сети с помощью ее логина и пароля осуществлял некий гражданин Волынский. Он израсходовал траффик на сумму 225,086 тыс. руб., но был задержан и признан виновным по ч. 1 ст. 272 УК РФ (неправомерный доступ к компьютерной информации).
Однако, по мнению судов, Перцовкина должна была сама следить за конфиденциальностью логина и пароля. Иск «Ростелекома» был удовлетворен полностью.
Как сообщает pravo.ru, Перцовкина не согласилась с решением и обратилась в надзор. После рассмотрения материалов дела коллегия судей ВАС приняла решение о передаче дела в президиум, отметив, что суды не указали, как именно, опираясь на договор или действующее законодательство, предпринимательнице следовало защищать свои логин и пароль. Кроме того, изучение судебно-арбитражной практики говорит о том, что доказанный факт несанкционированного доступа третьих лиц к сети Интернет с использованием логина и пароля абонента, полученных незаконным путем, является основанием для освобождения от обязанности оплаты незаказанных услуг.
Конечно, как безопасник, не могу не согласиться с судами, которые посчитали, что утечка логина и пароля - проблема самой гражданки. Но как обычный человек, который сам может попасть в аналогичную ситуацию, я, конечно, не могу не посочувствовать ей, и не согласиться с тем, что расходы, вообще говоря, должен оплачивать тот, кто их несет, иначе получается довольно-таки распространенная, к сожалению, в наших широтах ситуация под названием "с больной головы на здоровую".
Если проводить параллель с утечками информации, можно поднять вопрос: закономерно ли требование возмещения ущерба от утечки от того, кто её допустил? Конечно, фактически, вряд ли виновный сможет оплатить хотя бы десятую часть всех убытков компании, поскольку суммы ущербов от утечек, как мы все прекрасно знаем, бывают просто астрономическими. Но здесь важен скорее принципиальный момент.
На мой взгляд, всё-таки в данном случае (в приведенном выше кейсе с оплатой интернета) требование возмещения ущерба от того, кто незаконно пользовался логином и паролем, вполне обосновано. А вот с утечкой информации - нет. Почему? Тот, кто допускает утечку, сам эту информацию обычно не использует. Значит, закономерно требование возмещение ущерба от того, кто воспользовался утечкой - от конкурента, например.
Впрочем, я, к сожалению, не юрист, и это всё только мои рассуждения. Может, кто-нибудь сможет поделиться чем-то более обоснованным в комментариях?
Р. Идов,
аналитик компании SearchInform
