пятница, 15 мая 2015 г.

Арбитражная практика: Организация не обеспечила должной степени защиты своего компьютера и флеш-накопителя


Несанкционированное списание денежных средств со счетов организаций при банковском обслуживании неизменно вызывает судебные разбирательства с традиционным вопросом «кто виноват?». Судам приходится внимательно разбираться с этим вопросом и проводить судебные экспертизы.

Арбитражный суд Челябинской области в июне 2013 года рассмотрел дело № А76-24697/2012, в котором ключевым документом, на основе которого суд принял решение, стало экспертное заключение о том, в какой степени обществом были выполнены рекомендации банка по информационной безопасности.

Суть спора

В сентябре 2012 года в ОАО «ТрансКредитбанк» с использованием системы «Клиент-Банк» поступило платежное поручение от клиента - Дорожной территориальной организации Российского профессионального союза железнодорожников и транспортных строителей на Южно-Уральской железной дороге (ДОРПРОФЖЕЛ ЮУЖД) о перечислении денежных средств в размере более 5,5 млн. рублей на счет ООО «Монолит».

Платежное поручение было исполнено банком. Через несколько дней ДОРПРОФЖЕЛ сообщил банку о несанкционированном списании денежных средств с его расчетного счета.

Техническая комиссия по разбору конфликтной ситуации установила факт корректности ЭЦП клиента, выполненной на действующих ключах. Отклонений от стандартной процедуры при приеме банковской частью системы «Банк-Клиент» и исполнения платежного поручения не было выявлено. Первая подпись принадлежала заместителю председателя ДОРПРОФЖЕЛ – руководителю Карталинского филиала, а вторая - главному бухгалтеру этого филиала. Платежное поручение предположительно было получено с IР адреса, не зарегистрированного и не выделявшегося провайдером для компьютеров клиента.

Считая, что банк не проявил должной осмотрительности при списании денежных средств, ДОРПРОФЖЕЛ обратился в арбитражный суд с иском.

Позиция Арбитражного суда Челябинской области

Суд установил, что сертификат ключа подписи не утратил силу (действовал) на момент проверки или на момент подписания электронного документа. Банк при проверке ЭЦП правомерно пришел к выводу о её корректности.

В протоколе технической комиссии было зафиксировано, что на компьютере главного бухгалтера неустановленным лицом было несанкционированно установлено средство удаленного управления и администрирования «Radmin», в то время, как правилами электронного документооборота категорически запрещена установка средств удаленного управления (Radmin, TeamViewer и др.) на компьютере, на котором установлено автоматизированное рабочее место системы электронного документооборота (АРМ СЭД).

Судом по ходатайству банка была назначена судебная экспертиза, производство которой было поручено ООО ИТ «ЭНИГМА». Экспертное заключение содержало следующие выводы:
  • В соответствии с требованиями по обеспечению участником СЭД защиты информации и правилами использования СКЗИ КриптоПро СSP, установка средств удаленного администрирования категорически запрещена, и факт установки может указывать на возможность использования секретного ключа третьими лицами;

  • При наличии подключения к сети Интернет и с установленной программой «Radmin» существует потенциальная возможность несанкционированного доступа к компьютеру извне;

  • При наличии несанкционированного доступа возможно копирование каталогов с Банк-Клиентом;

  • Специализированных средств, контролирующих/ограничивающих подключения извне, на компьютере общества не обнаружено;

  • В полном объеме рекомендации банка по информационной безопасности не были выполнены.
Кроме того, эксперт подтвердил корректность ЭЦП, которой было подписано спорное платежное поручение.

Поскольку, по мнению суда, заключение эксперта в достаточной степени мотивированно, обоснованно, обеспечивает баланс интересов сторон, не содержит каких-либо противоречий в выводах, - оно является надлежащим доказательством по делу и соответствует требованиям действующего законодательства.

Суд пришел к выводу об отсутствии причинной связи между противоправными действиями банка и причиненными обществу убытками, а также вины банка в причиненных убытках.

Суд отметил, что ДОРПРОФЖЕЛ ЮУЖД при наличии обязанности неразглашения сведений о своем пароле и секретном ключе не обеспечил должной степени защиты своего компьютера и флеш-накопителя, где были сохранены соответствующие реквизиты, от возможности доступа к ним третьих лиц, которые могли быть заинтересованы в причинении истцу материального ущерба.

Арбитражный суд в удовлетворении исковых требований отказал.

Восемнадцатый арбитражный апелляционный суд в июле 2013 года оставил без изменения решение Арбитражного суда Челябинской области, а апелляционную жалобу общественной организации - дорожная территориальная организация Российского профессионального союза железнодорожников и транспортных строителей на Южно-Уральской железной дороге – без удовлетворения.

Федеральный арбитражный суд Уральского округа в октябре 2013 года оставил без изменения решение Арбитражного суда Челябинской области и постановление Восемнадцатого арбитражного апелляционного суда, а кассационную жалобу – без удовлетворения.

Коллегия судей Высшего Арбитражного Суда Российской Федерации в феврале 2014 года (определение № ВАС-1168/14) отказала в передаче дела в Президиум Высшего Арбитражного Суда Российской Федерации для пересмотра в порядке надзора.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/ 

Комментариев нет:

Отправить комментарий