Несколько дней назад на AIN.UA выходил материал про взлом call-центра интернет-магазина Megamama.ua. Речь шла о том, что хакеры получили доступ к настройкам call-центра магазина и через IP-телефоны за ночь совершили ряд звонков за рубеж на общую сумму в 165 тыс грн. Директор Megamama.ua Борис Факторович отказался оплачивать счет, выставленный днепропетровским провайдером “Телемост”, мотивируя это тем, что звонки совершали не они, следовательно, платить они не обязаны.
В свою очередь, «Телемост» уже заплатил “Киевстару”, который предоставляет им выход на международную связь, 145 тыс грн за эти разговоры и сейчас намерен отсудить эту сумму у Факторовича. Мы попросили юристов прокомментировать ситуацию и оценить перспективы сторон в судебном разбирательстве. Отвечает старший юрист практики IT и медиа права АО Юскутум Михаил Пергаменщик.
Мы имеем дело с классической схемой хакинга, которая была художественно описана Кевином Митником в его мемуарах. С появлением первых хакеров в конце прошлого века и до сегодняшнего дня выявление злоумышленников не стало легкой задачей для правоохранительных органов, а телекоммуникационные компании все еще не могут похвастаться железобетонной защитой.
Начнем с того, что согласно Закона «О телекоммуникациях» операторы обязаны принимать меры по защите и по по недопущению несанкционированного доступа к своим телекоммуникационным сетям. Как мы понимаем, злоумышленники взломали клиентское оборудование, которое абонент самостоятельно устанавливал и настраивал.
Было бы нелогично возлагать на провайдера телекоммуникационных услуг или оператора, владеющего сетью, ответственность за исправность и защищенность конечного оборудования абонента.
Также, запрос, полученный оборудованием провайдера от конечного оборудования абонента, нельзя считать несанкционированным вторжением в сеть первого, поскольку использование этого конечного оборудования изначально предусмотрено договором между абонентом и провайдером. Следовательно, когда от такого конечного оборудования приходит запрос на оборудование провайдера, у последнего нет правовых оснований отказывать в запрашиваемом соединении. Исключением может быть ситуация, когда между провайдером и абонентом есть договоренность о каких-либо ограничениях, например отрицательного баланса, длительности звонков или их направлений. К примеру, статья 32 Закона предусматривает право абонента на ограничение оператором, провайдером доступа абонента к отдельным видам услуг на основании письменного заявления последнего.
В свою очередь, у абонента в отношении провайдера существуют определенные обязанности касательно его конечного оборудования. Согласно статье 33 Закона, именно абонент обязан не допускать использование конечного оборудования для противоправных действий и несанкционированного доступа к телекоммуникационной сети.
Со сложившейся ситуацией можно провести аналогию: вор украл у абонента мобильный телефон и без его ведома совершил звонки на большую сумму денег, после чего абонент заявил о случившемся оператору мобильной связи. Оператор не может достоверно знать, в какой момент времени телефоном начал пользоваться вор, поэтому все-равно выставит счет абоненту, а последний будет вынужден взыскивать эти расходы с вора в порядке регресса.
Говоря юридическим языком, в таком случае абоненту нужно написать в милицию заявление о краже телефона, и когда вора найдут и заведут на него уголовное дело, взыскать с последнего сумму оплаченного счета оператора путем подачи гражданского иска в уголовном процессе.
Но в этой ситуации есть и обратная сторона медали. Вполне логично ожидать от оператора, что он является осведомлённым о распространенных схемах мошенничества (в т.ч. IP fraud) и их признаках (длительность звонков, их направление, время соединения и т.п.). В результате, абоненту логично ожидать получение телекоммуникационных услуг на должном уровне с учетом этих знаний.
К примеру, согласно статье 32 Закона абонент имеет право на безопасность телекоммуникационных услуг. Это положение можно толковать и таким образом, что провайдер обязаны внедрять по своей части такие меры безопасности, которые были бы адекватными уязвимостям и проблемам, хорошо известным в данной индустрии, так называемые «передовые практики» («best practices»).
В таком же духе можно толковать и ранее упомянутую обязанность операторов принимать меры по недопущению несанкционированного доступа к своим телекоммуникационным сетям. В таком случае, можно говорить о том, что организационные и технические меры по предотвращению явно мошеннических схем должны входить в понятие надлежащего качества телекоммуникационных услуг.
Напоследок можно сказать, что выбор судом той или иной позиции может зависеть, в частности, от технических нюансов совершенной хакерской атаки на конечное оборудование абонента.
