Конференция "Код ИБ" 2017. Омск

1. Царев Евгений
RTM Group
Практика судебных экспертиз по ИТ и ИБ

2. • Область применения – суды общей юрисдикции и
арбитражные суды;
• Вид экспертизы – нормативные и нормативно-технические
экспертизы, по вопросам ИТ и ИБ;
• ГПК РФ, АПК РФ, УК РФ содержат значительные различия в
регламентации работы эксперта и специалиста.
Ограничения содержания

3. • Ежегодный кратный рост количества судебных дел,
имеющих отношение к ИТ и ИБ
• Стороны по делу и суд не обладают компетенцией в
области ИТ и ИБ на уровне эксперта
• Компьютерно-технических экспертиз недостаточно для
установления всех обстоятельств по делу
• Область информационной безопасности крайне
зарегулирована, суды не всегда анализируют
требования регуляторов
• Судам сложно оценить соответствие требованиям ИТ и
ИБ без пояснений специалиста или эксперта
Проблематика

4. • АРБИТРАЖНЫЕ СУДЫ ПЕРВОЙ ИНСТАНЦИИ в республиках,
краях, областях, городах федерального значения,
автономной области, автономных округах.
• АРБИТРАЖНЫЕ АПЕЛЛЯЦИОННЫЕ СУДЫ
• ФЕДЕРАЛЬНЫЕ АРБИТРАЖНЫЕ СУДЫ ОКРУГОВ
(арбитражные кассационные суды)
• ВЫСШИЙ АРБИТРАЖНЫЙ СУД РФ
Система Арбитражных судов РФ

5. Судебный эксперт - это лицо, обладающее специальными
знаниями, назначенное судом в порядке, установленном
процессуальным законодательством (ст. 79 ГПК РФ, 55 АПК РФ,
57 УПК РФ, 25.9 КоАП РФ) для производства судебной
экспертизы и дачи заключения.
Эксперт как субъект судебно-
экспертной деятельности

6. Судебные и досудебные экспертизы по
ИТ и ИБ.

7. • В качестве представителя стороны по делу для защиты
позиции одной из сторон
• В качестве специалиста в судебное заседание для дачи
пояснений суду
• В качестве эксперта:
– Проведение досудебной экспертизы
– Проведение судебно экспертизы
Варианты привлечения эксперта по
информационной безопасности в
судебный процесс

8. • Суд и стороны могут задать эксперту вопросы с целью
подтверждения своей позиции
• Специалист может дать пояснение по доказательствам
имеющимся в деле
• Специалист участвует в постановке вопросов при
назначении экспертизы
• Специалист участвует при допросе эксперта,
подготовившем заключение
• Мнение специалиста имеет значительный вес для суда
• Специалист несет личную ответственность за свои
показания
Привлечение специалиста в судебное
заседание

9. Привлечение эксперта для проведения
досудебной экспертизы

10. Привлечение эксперта для проведения
судебной экспертизы

11. • Подготовка информационного письма для суда
• Внесение ДС на депозит суда
• Определение о назначении экспертизы
• Запрос в суд на получение необходимых материалов
• Подготовка заключения
• Предоставление заключения суду
• Участие эксперта в судебном заседании
Привлечение эксперта для проведения
судебной экспертизы

12. • Суд назначает экспертизу, по собственной инициативе или
инициативе сторон
• Проведение экспертизы может быть поручено судебно-
экспертному учреждению, конкретному эксперту или
нескольким экспертам
• Компетентность судебного эксперта оценивается в
процессе подбора сведущего лица и решения вопроса о его
назначении в качестве судебного эксперта.
Привлечение эксперта для проведения
судебной экспертизы

13. • Нормативная экспертиза является самостоятельным
доказательством по делу
• Суд получает ранее неизвестные факты по делу,
подтвержденные экспертом
• Нормативная экспертиза дополняет и корректирует
компьютерно-техническую экспертизу
• Досудебная экспертиза может быть достаточным
основанием не назначать иные экспертизы и вынести
решение по делу
• Выводы судебной экспертизы имеют значительный вес для
суда
Нормативная экспертиза

14. • Многие требования по информационной безопасности носят
предписывающий характер, их выявление и
предоставление суду может изменить ход процесса
• Вовремя подготовленная нормативная экспертиза может
повлиять на решений одной из сторон заключить мировое
соглашение, отказаться от иска или переформулировать
его
• Качественное и корректное заключение эксперта может
являться главным доказательством по делу
• Оспорить результаты судебно-нормативной экспертизы
крайне сложно
Нормативная экспертиза

15. Представитель-эксперт:
• Имеет возможность защищать позицию одной из сторон
• Может скорректировать позицию стороны по делу
• Может найти новые доказательства по делу
• Может провести собственное исследование по делу и приложить его в
качестве пояснения одной из сторон
• Может опросить представителей сторон по делу, а также судебного эксперта
или приглашенного специалиста, если таковые привлекаются
• Может сформулировать корректные и значимые вопросы к судебному
эксперту
Представительство в судебных
процессах

16. • В заключении эксперта должны быть отражены:
– время и место производства судебной экспертизы;
– основания производства судебной экспертизы;
– сведения об органе или о лице, назначивших судебную экспертизу;
– сведения о судебно-экспертном учреждении, об эксперте (фамилия, имя,
отчество, образование, специальность, стаж работы, ученая степень и
ученое звание, занимаемая должность), которым поручено производство
судебной экспертизы;
– предупреждение эксперта в соответствии с законодательством РФ об
ответственности за дачу заведомо ложного заключения;
– вопросы, поставленные перед экспертом или комиссией экспертов;
– объекты исследований и материалы дела, представленные эксперту для
производства судебной экспертизы;
– сведения об участниках процесса, присутствовавших при производстве
судебной экспертизы;
– содержание и результаты исследований с указанием примененных
методов;
– оценка результатов исследований, обоснование и формулировка
выводов по поставленным вопросам.
Заключение эксперта

17. • Вводная часть:
– номер и наименование дела, по которому назначена экспертиза;
– краткое описание обстоятельств дела, имеющих отношение к
исследованию;
– сведения об органе и лице, назначившем экспертизу, правовых
– основаниях для назначения экспертизы (постановление или опреде-
ление);
– наименование экспертного учреждения, исходные сведения о лице
(или лицах), производившем экспертизу (фамилия, имя, отчество,
образование, экспертная квалификация, ученая степень, звание, стаж
экспертной работы);
– род и вид экспертизы;
– вопросы, выносимые на разрешение эксперт;
– перечисляются поступившие на экспертизу материалы, способ их
доставки;
– подписка об ответственности за дачу заведомо ложного заключения по
ст. 307 УК РФ.
Заключение эксперта

18. • Основная часть:
– вид упаковки представленных на экспертизу объектов, ее целостность,
реквизиты, состояние;
– процесс исследования по стадиям с описанием его методики, условий
применения тех или иных методов;
– описание процесса исследования.
• Выводы:
– ответы на вопросы
• Приложения (в случае необходимости).
Заключение эксперта

19. • нарушение экспертом процессуального режима и
процедуры производства экспертизы;
• выход эксперта за пределы своей компетенции;
• выражение экспертной инициативы в непредусмотренных
законом формах;
• самостоятельное собирание материалов и объектов
экспертизы;
• обоснование выводов материалами дела, а не результатами
исследования;
• осуществление несанкционированных судом (следователем)
контактов с заинтересованными лицами;
• принятие поручения на производство экспертизы и
материалов от неуполномоченных лиц;
Типичные экспертные ошибки

20. • несоблюдение процессуальных требований к заключению
эксперта (в том числе отсутствие в заключении
необходимых по закону реквизитов).
• логические и фактические (предметные) ошибки
• применение «непригодных» методов исследования;
• профессиональная некомпетентность;
• неполноту или односторонность исследования;
• пренебрежение правилами и условиями применения
методик экспертного исследования и технических средств;
• профессиональные упущения эксперта: небрежность,
неаккуратность, поверхностное производство исследования,
игнорирование тех или иных свойств объектов или их
взаимозависимости.
• логические дефекты умозаключений эксперта;
• дефекты в организации и планировании экспертного
исследования.
Типичные экспертные ошибки

21. • Компьютерно-техническая экспертиза исследует
компьютерные средства, электронные носители
информации, информационные системы
• Нормативная экспертиза исследует информацию из
документов
Компьютерно-техническая и
нормативная экспертизы

22. • Экспертиза соответствия требованиям законодательства и
требованиям Центрального банка, Стандарта банка России по
информационной безопасности (СТО БР ИББС), 382-П и пр.;
• Нормативная экспертиза в делах возмещения убытков, связанных
с кражей денежных средств с использованием систем
дистанционного банковского обслуживания;
• Экспертиза Технических заданий и Технических проектов на
соответствие требованиям законодательства, требованиям ФСБ
России и ФСТЭК России;
• Экспертиза соответствия Технического проекта требованиям
Технических заданий в части информационной безопасности;
• Подготовка экспертизы по общим вопросам информационной
безопасности и защиты информации;
Примеры дел

23. • Экспертиза при обнаружении факта утечки информации, включая
исследование инцидента, уведомление клиентов, переговоры с
государственными и федеральными регулирующими органами;
• Экспертиза договорной работы с сотрудниками и контрагентами с
целью обеспечения интересов компании в области
информационной безопасности.
• Экспертиза договорной работы с контрагентами относительно
использования информации;
• Оперативная оценка ситуации в случае обнаружения факта
хищения денежных средств с использованием систем
дистанционного банковского обслуживания;
Примеры дел

24. Атака на ДБО

25. • Бухгалтерия Клиента фиксирует переводы денежных
средств на счета «неизвестных» компаний
• Представитель Клиента пытается связаться с Банком
(телефон, почта)
• Банк блокирует счет Клиента или блокирует доступ через
ДБО
• Через несколько часов после списания, денежные средства
зачисляют на счета «неизвестных» компаний в другом
банке, переводятся на зарплатный проект или переводятся
дальше на счета других контор.
Атака на ДБО. Классический сценарий

26. • Если переводы совершены, деньги не были остановлены на
межбанкинге, или срочно не был заблокирован счет «неизв
естной» компании, то вернуть деньги во внесудебном поряд
ке практически невозможно
• Если будут поданы иски к «неизвестным» компаниям, то он
и с высокой долей вероятности будут удовлетворены судом,
однако фактически истребовать деньги будет невозможно
• «Неофициальный» путь
• Реальный способ вернуть деньги – длительный и сложный с
удебный процесс с Банком
Атака на ДБО. Проблематика

27. • Имел ли место факт списания денежных средств?
• По вине кого денежные средства были списаны? Был это Ба
нк, Клиент или третье лицо?
• Важно установить кто нарушил требования договора между
банком и клиентом
– Присутствовало ли вредоносное ПО компьютере Клиента? Каков функци
онал данного вредоносного ПО?
– Как появилось вредоносное ПО на компьютере Клиента?
– Если ли вина Клиента?
– Есть ли вина Банка?
• Вина сторон устанавливается по результатам анализа обсто
ятельств дела, технической экспертизы и нормативной эксп
ертизы.
Атака на ДБО. На что смотрит суд?

28. • Как правило, имеются очевидные нарушения условий догов
ора со стороны Банка, например:
– Не произведено информирование Клиента
– Не получено подтверждение от Клиента на проведение транзакции (н-р,
одноразовый код не отправлялся, ключ ЭП не использовался)
– Банк не может подтвердить факт получения ПП от Клиента
• Имеются основания для взыскания похищенных средств с б
анка в порядке ст. ст. 15, 309-310, 393, 863 ГК РФ (иск о вз
ыскании убытков в связи с ненадлежащим выполнением об
язательств по договору).
Атака на ДБО. Ситуация: Атака на Банк

29. Атака на ДБО. Ситуация: Атака на
Клиента (Договор)

30. – Перераспределение рисков в пользу Банка практически исключало до 2
014 года возможность взыскания с Банка, т.к. отсутствовали основания
взыскивать деньги с Банка.
– В 2014 году практика была скорректирована.
• Президиум Высшего арбитражного суда в Постановлении от
10.06.2014 N 716/14 по делу N А40-143607/12 (Дело АСВ п
ротив МАСТ-БАНК и Банк Империя) сделал следующие выво
ды:
Если иное не установлено законом или договором, банк несет ответственность за последствия
исполнения поручений, выданных неуполномоченными лицами, и в тех случаях, когда с испо
льзованием предусмотренных банковскими правилами и договором процедур банк не мог уста
новить факта выдачи распоряжения неуполномоченными лицами.
• ВАС возлагает на Банк риск незаконного списания денежны
х средств даже в случае, когда, действуя с обычной степен
ью осмотрительности, Банк не мог этого выявить. ВАС пред
усмотрел ответственность Банка, как профессионального уч
астника рынка, при отсутствии в договоре, иного условия.
Атака на ДБО. Ситуация: Атака на
Клиента (Практика)

31. Вектор доказывания для Клиента:
– Установление факта противоправных действий (бездействия) Банка
– Установление факта убытков
– Установление причинно-следственной связи между действиями Банка и
возникшими убытками.
Должно быть доказано все 3 факта.
Атака на ДБО. Ситуация: Атака на
Клиента (Практика)

32. • Техническая
– Анализ АРМ Клиента
– Анализ системы ДБО
• Нормативная
– Анализ всей документации, имеющей отношение к делу
Атака на ДБО. Экспертизы

33. • Всего за 2016 год судами было вынесено 194 решения по с
порам между банками и их клиентами в части возмещения
ущерба от проведения несанкционированных транзакций с
использованием систем ДБО (включая интернет-банкинг, м
обильный банкинг и карты физических лиц).
• Средняя сумма иска для юридических лиц составила 9 71
4 040 рублей.
• Средняя сумма иска для физических лиц - 421 647 рублей.
• В 77% случаев суды отказывали клиентам в полном объем.
При этом, суды выносят решения в пользу клиентов-физиче
ских лиц в 1,5 раз чаще, чем в отношении клиентов-юриди
ческих лиц.
• Всего за 2016 год было вынесено 31 решение по делам, где
истцами выступали юридические лица. При общей сумме ис
ков в 301 135 239 рублей, с банков удалось взыскать лишь
32 000 рублей.
Атака на ДБО. Судебная практика

34. Возмещение ущерба, нанесенного
работником с использованием ИТ-систем.
Возможность досудебного урегулирования

35. В рамках ТК РФ В рамках УК РФ
Варианты привлечения сотрудника
к ответственности

36. • Условия и процедуры описаны Ст.232,233, 238-250 ТК
РФ, например:
– работодатель обязан провести проверку для установления размера
причиненного ущерба и причин его возникновения. Для
проведения такой проверки работодатель имеет право создать
комиссию с участием соответствующих специалистов.
– Истребование от работника письменного объяснения для
установления причины возникновения ущерба является
обязательным. В случае отказа или уклонения работника от
предоставления указанного объяснения составляется
соответствующий акт.
– Работник и (или) его представитель имеют право знакомиться со
всеми материалами проверки и обжаловать их в порядке,
установленном настоящим Кодексом.
• Разъяснения и уточнения в Постановлении Пленума
Верховного Суда РФ от 16 ноября 2006 года № 52 «О
применении судами законодательства, регулирующего
материальную ответственность работников за ущерб,
причиненный работодателю»
Привлечение сотрудника в рамках
ТК РФ

37. • За причиненный ущерб работник несет материальную
ответственность в пределах своего среднего месячного
заработка (242 ТК РФ)
• Материальная ответственность в полном размере
причиненного ущерба возлагается (ст.243 ТК РФ) в 8
пунктах, в том числе: умышленного причинения
ущерба, разглашения сведений, составляющих
охраняемую законом тайну
• Материальная ответственность в полном размере может
быть установлена трудовым договором, заключаемым с
заместителями руководителя организации, главным
бухгалтером
Пределы материальной
ответственности

38. 1. Установление факта инцидента или подозрение в том, что
инцидент произошел
2. Создание комиссии по расследованию инцидента
3. Проведение внутреннего расследования инцидента
(установить размер причиненного ущерба и обстоятельства)
4. Подготовка акта
5. Подписание акта комиссией
6. Ознакомление сотрудника с результатами работы комиссии
7. Истребование от сотрудника письменного объяснения,
– в случае отказа дать объяснение – составляется и подписывается акт
8. Требование возместить сумму ущерба
9. Суд/Обращение в правоохранительные органы
Процедура

39. 1. Сомнения суда в достоверности доказательств
2. Необходимость доказывать авторство изменений в ИТ-
системе
3. Подтверждение факта знаний последствий действий,
которые совершает сотрудник в ИТ-системе
4. Корректность собранных доказательств
5. Причинно-следственная связь действий сотрудника и
убытков
6. Отсутствие экспертизы как таковой (специальными
знаниями суд и сторона по делу может не обладать)
7. Инструкция сотрудника и регламент работы с системой
Особенности дел, в которых
имеются доказательства из ИТ-
систем

40. 1. Установление факта инцидента или подозрение в том, что
инцидент произошел
2. Предварительное расследование инцидента третьей
стороной
3. Создание комиссии по расследованию инцидента
4. Проведение внутреннего расследования инцидента
(установить размер причиненного ущерба и обстоятельства)
5. Подготовка акта
6. Подписание акта комиссией
7. Ознакомление сотрудника с результатами работы комиссии
8. Истребовать от сотрудника письменное объяснение,
– в случае отказа дать объяснение – составить акт
9. Требование возместить сумму ущерба
10.Суд/Обращение в правоохранительные органы
– Привлечение специалиста в суд
Процедура

41. 1. Фиксируются все данные из информационных систем
2. Определяется автор изменений в информационной
системе
3. Готовится заключение, которое включает в себя:
– Время, место, основание и реквизиты исследования
– Сведения об эксперте
– Используемые документы
– Описание доступа в информационные системы
– Последовательность и методика исследования
– Описание обстоятельств инцидента
– Определение суммы ущерба
– Выводы, включая ответы на вопросы
– Оценка перспектив судебного разбирательства
– Рекомендации по дальнейшим действиям
Предварительное расследование
инцидента

42. 1. Если суд, так или иначе, касается вопросов информационной
безопасности, в обязательном порядке привлекайте эксперта по
информационной безопасности.
2. Эксперт по информационной безопасности должен иметь опыт
работы в судах.
3. Если в первой инстанции вы не предоставите необходимое
экспертное заключение или не подкрепите свою позицию словами
специалиста в судебном заседании, другой возможности, скорее
всего, уже не будет.
11 правил, которые нужно соблюдать

43. 4. Если вы или ваши оппоненты ходатайствуете о назначении
судебной экспертизы, вопросы к экспертизе должен предлагать
эксперт по информационной безопасности, а корректировать их
должны юристы.
5. Не пытайтесь повлиять на эксперта или специалиста и не
вмешивайтесь в процесс подготовки заключения.
6. Никогда, никогда, НИКОГДА не работайте с теми экспертами, на
заключение которых можно повлиять.
7. Разделяйте понятия нормативной и технической экспертизы.
11 правил, которые нужно соблюдать

44. 11 правил, которые нужно соблюдать
8. Привлекайте эксперта по информационной безопасности, это резко
повышает шансы на его благоприятный исход
9. Максимально детализируйте свою позицию. То, что для вас,
очевидно, может быть вовсе неочевидно для судьи.
10. Не стремитесь принести в суд все, что есть.
11. Старайтесь урегулировать спор в досудебном порядке.

45. Потребность рынка сегодня
• Подготовка судебных и досудебных экспертиз по вопросам
информационных технологий, информационной безопасности и
защиты информации;
• Приведение деятельности компаний в соответствии с
требованиями государственных нормативных актов, в частности
закона о персональных данных. Приведение в соответствие
требованиям регуляторов ФСБ России, ФСТЭК России и
Роскомнадзора. Контроль соответствия ГОСТ, корпоративным
требованиям;
• Экспертиза соответствия требованиям законодательства и
требованиям Центрального банка, Стандарта банка России по
информационной безопасности (СТО БР ИББС);

46. Потребность рынка сегодня
• Оперативная помощь в случае обнаружения факта хищения
денежных средств с использованием систем дистанционного
банковского обслуживания;
• Экспертиза в рамках судебных разбирательств, имеющих
отношение к вопросам информационных технологий,
информационной безопасности и защиты информации. В
частности судебно-нормативная экспертиза в делах кражи
денежных средств с использованием систем дистанционного
банковского обслуживания;
• Экспертиза Технических заданий и Технических проектов на
соответствие требованиям договора, законодательства,
требованиям регуляторов;
• Анализ соответствия Технического проекта требованиям
Технических заданий;

47. Потребность рынка сегодня
• Участие в судебных процессах, имеющих отношение к вопросам
информационных технологий, информационной безопасности и
защиты информации;
• Помощь при обнаружении факта утечки информации, включая
исследование инцидента, уведомление клиентов, переговоры с
государственными и федеральными регулирующими органами;
• Предотвращение и управление инцидентами информационной
безопасности, начиная с проектирования системы
информационной безопасности и заканчивая реализацией
ответных действий, обработкой претензий и ведением
переговоров, возникших в результате подобных событий;
• Консультирование и представление интересов организации по
вопросам информационных технологий, информационной
безопасности и защиты информации;

48. Потребность рынка сегодня
• Консультационная поддержка юридических подразделений
предприятия по вопросам информационной безопасности,
включая реакцию на инциденты информационной безопасности,
участие во взаимодействии с контрагентами и регуляторами;
• Организация договорной работы с сотрудниками и контрагентами.
Составление и согласование договоров с поставщиками
относительно информационных технологий и защиты информации;
• Помощь в разрешении споров, управление потребительскими
претензиями, ответные действия на заявления о злоупотреблении
данными, содействие в судебных разбирательствах.

49. RTM Group — группа экспертных и юридических компаний,
специализирующихся на правовых и технических вопросах в
области информационных технологий и информационной
безопасности.
Контакты: info@rtmtech.ru, +7 (495) 309-31-25 (пн.-пт. 10:00—18:00 мск)
Спасибо за внимание,
Вопросы