Приговором первой инстанции мужчина был признан виновным, однако суд апелляционной инстанции его оправдал. Дело в 2023 году поступило в Сенат, который отменил решение окружного суда. При повторном рассмотрении дела окружной суд оставил в силе приговор первой инстанции, которым обвиняемый был приговорен к штрафу в размере 12 установленных в Латвийской Республике минимальных месячных зарплат, или 6000 EUR, а наказание смягчено до 5750 EUR. Также установлено, что обвиняемый должен возместить ущерб, причиненный ДБДД, в размере 3459,52 EUR. На этот приговор обвиняемый подал кассационную жалобу.
В постановлении департамента по уголовным делам Сената отмечается, что суд апелляционной инстанции при повторном рассмотрении дела не учел выводы Сената от 20 июня 2023 года, что обвиняемый не создал уязвимость системы государственного реестра транспортных средств и их водителей, а обнаружил ее. Но поддерживать безопасность информационных технологий и устранять уязвимость системы было обязанностью ДБДД, а не обвиняемого. На оправдательный приговор апелляционной инстанции кассационный протест подал прокурор, который в своем протесте не стал оспаривать этот аргумент суда об отсутствии причинно-следственной связи между преступными действиями обвиняемого и причиненным ущербом.
При повторном рассмотрении дела суд апелляционной инстанции должен был учесть, что в случае отсутствия причинно-следственной связи между противоправным действием или бездействием и выявленными убытками суд не имеет правовых оснований обязывать обвиняемого платить потерпевшему компенсацию в размере 3 459,52 EUR, подчеркивается в решении Сената.
Авто могли перерегистрировать на кого угодно
Ассоциация профессионалов безопасности (Drošības profesionāļu asociācija, АПБ, DPA) также ранее выступила против обвинений в вымогательстве.
Как отмечает член АПБ, работающий в структурах НАТО исследователь безопасности Нил Путниньш, уязвимость, которую обнаружил Р. Скурулс, классифицируется по стандартам OWASP как «A01 Broken Access Control», то есть неисправный контроль доступа. Определение OWASP от 2021 года предполагает, что это самый критичный риск безопасности веб-приложений. В данном случае это легко доказать с помощью методологии CVSS (Common Vulnerability Scoring System является отраслевым стандартом оценки серьезности уязвимостей безопасности компьютерных систем.).
Чем же эта "уязвимость" могла обернуться в реальной жизни? Перерегистрацией любых авто в Латвии в пользу кого угодно.
"Из публично доступной информации можно сделать вывод, что существовала возможность доступа к каждому аккаунту и внесения изменений, в том числе перерегистрации автомобиля другим владельцем. Это означает, что эта уязвимость потенциально угрожала всем владельцам и водителям латвийских авто," - поясняет АПБ.
И делает такой вывод:
"Считаем, что Раймонд Скурулс был обвинен в вымогательстве 1000 евро необоснованно, поскольку, учитывая публично доступную информацию, добросовестно указал на уязвимость и первым делом доложил об этом в CSDD. И только после того, как там - в CSDD, не смогли обнаружить эту уязвимость, Скурулс потребовал за техническое ее описание указанную сумму, так как на ее открытие потратил много времени и посчитал, что такой вклад дарить не надо."
Сколько в таких случаях принято платить
АПБ также приводит примеры, сколько в подобных ситуациях платят в сложившийся мировой практике известные компании:
* к примеру, таксистская платформа «Uber», которая тоже уже столкнулась с утечкой данных и вытекающими отсюда последствиями, предложила за выявление критических уязвимостей исследователю от десяти до пятнадцати тысяч долларов.
* аналогичную практику развивают также платформы «Booking.com» и Udemy, предлагая исследователям три и две тысячи долларов соответственно.
"Абсурдно, что суд требует от исследователя по безопасности оплатить расходы, возникшие в результате ответственности IT-руководителя", - подчеркивает АПБ.
И напоминает: 14 декабря 2022 года принята директива (ЕС) 2022/2555 (а также рад других документов), в которых предусматриваются меры с целью достижения одинаково высокого уровня кибербезопасности во всем Союзе.
И там имеется такая рекомендация:
"Учитывая, что физические и юридические лица, исследующие уязвимость, могут быть подвергнуты уголовной и гражданско-правовой ответственности в некоторых государствах-участниках, государства-участники призываются принять основополагающие принципы о неосуществлении уголовного преследования против исследователей в области информационной безопасности и освобождении их действий от гражданско-правовой ответственности».
Больше всех уязвимости раскрывают индусы
Эксперты по компьютерной безопасности встревожены приговором суда, признавшего известного латвийского изобретателя Раймонда Скурулса виновным в вымогательстве, - в свою очередь сообщило на днях TV3.
Есть опасения, что так называемые "хакеры" перестанут сообщать о своих открытиях, что может привести к еще большим рискам.
Кстати: латвийский орган по надзору за киберпространством cert.lv создал платформу для сообщений об уязвимостях - веб-сайт, на котором каждый может сообщить о "дырах" в IT-безопасности государственных учреждений.
Денег на это не платят, зато можно посмотреть список "хакеров", которые нашли больше всего уязвимостей.
Как оказалось, что активнее всех о недостатках систем данных латвийских государственных органов рассказывают индийские студенты.
Дело о "дыре" на e-csdd.lv
Раймонд Скрулис 15 октября 2018 года позвонил в ДБДД, назвал свое имя, и сообщил, что обнаружил возможную уязвимость в системе авторизации, связанную с государственным регистром транспортных средств и водителей.
И тогда, и по сей день Скурулс считает, что не должен дарить это открытие ДБДД, поэтому он захотел получить компенсацию за свои услуги.
В связи с этим он подписал договор с ООО WeAreDots, привлеченным ДБДД в качестве консультанта, он отправил по электронной почте информацию о уязвимости в системе авторизации на сайта e-csdd.lv, которая давала возможность несанкционированного доступа.
Из материалов дела следует, что, даже имея в кармане договор, Скурулс опасался, что его "кинут" и ничего не заплатят за ценную информацию. Его подозрения не только оправдались, но и превзошли все ожидания - в конце октября руководство ДБДД обратилось с заявлением в Госполицию, - комментирует ситуацию Latvijas Avīze.
Полиция действительно задержала Скурулса и даже поместила на несколько дней в изолятор кратковременного содержания. В итоге следствие нашло доказательства его вины, и дело ушло в суд.
В сентябре 2021 года решением Резекненского суда Скурулс был признан виновным и оштрафован на 12 минимальных месячных зарплат. Пострадавшее предприятие - ДБДД, считает, что обвиняемый нанес существенный материальный ущерб в размере 3459,52 евро. Ущерб возник таким образом: оплата труда трем программистам ДБДД, которые в течение недели так и не нашли "дыру в системе", плюс пришлось платить и компании WeAreDots за консультации.
Обвиняемый обжаловал решение суда первой инстанции в Латгальском окружном суде, который постановил признать его невиновным и оправдать.
Однако с таким приговором не смирился прокурор, который обратился с кассационной жалобой в Верховный суд. Три сенатора приняли решение отменить вердикт Латгальского окружного суда от 2 июня 2022 года полностью и направить дело на новое рассмотрение в Латгальский окружной суд.
Латгальский окружной суд постановил оставить в силе решение Резекненского суда, согласно которому Раймонд Скурулс должен заплатить штраф (8400 евро), а также компенсировать CSDD якобы причиненный имущественный ущерб - 3459,52 евро. Однако приговор еще не вступил в силу, так как Скурулс сможет обжаловать его в Сенате Верховного суда.
Kriminal.lv в Телеграме
