Скільки коштуватиме кібератака бізнесу і що робити?

Головпоштамт Копирайт изображения UNIAN
Image caption Навіть найбільші державні установи і компанії виявилися неготовими до нападу із кібер-простору. 27 червня Головпоштамт не працював з "технічних причин"

Економічні наслідки масштабної кібератаки, яка вразила низку українських державних органів, банків, великих і малих компаній, наразі важко підрахувати.

По-перше, експерти не певні, чи завершилася ця атака, або ж вона була лише підготовкою до чогось більш масштабного.

По-друге, досі невідомо, скільки комп'ютерів насправді були вражені вірусом.

Але про деякі серйозні наслідки атаки для українського бізнесу відомо вже зараз. І вони потребують термінових дій.

Кібератака - не форс-мажор?

Через тиждень після того, як було здійснено атаку, експерти кібер-поліції та ІТ компаній погодилися, що зараження вірусом Petya.A відбувалося через програмне забезпечення для бухгалтерського обліку M.E.Doc.

Як пояснює радник міністра фінансів Яна Бугрімова, "кібератака безпосередньо зачепила платників податків, а також їхню здатність виконувати свої податкові зобов'язання".

"На щастя, на момент атаки не припадали терміни подання основної звітності, - ані з ПДВ, ані з податку на прибуток. Але це єдиний "плюс", - каже представниця міністерства фінансів. - Із "мінусів": йдеться про реєстрацію податкових накладних, які є критичними для бізнесу".

Податкові накладні - документи, які платник податку на додану вартість зобов'язаний надати покупцю.

Згідно із законодавством, штрафні санкції за несвоєчасну реєстрацію накладних є дуже високими. І головний термін здачі податкових накладних припадав саме на час атаки.

При цьому, каже Яна Бугрімова, на жаль, чинний податковий кодекс не передбачає можливості не застосовувати штрафи за несвоєчасне подання накладних навіть у випадку форс-мажору.

Копирайт изображения UNIAN
Image caption У день кібернападу припинила роботу і недержавна компанія експрес-доставки "Нова пошта"

"Штрафувати за те, що розбомбили ваш будинок, абсолютно некоректно", - зауважує Ілля Несходовський, директор Інституту соціально-економічної трансформації.

Він вважає, що Мінфін, у сферу відповідального якого входить і Державна фіскальна служба, мав би взяти ініціативу на себе, і виступити із роз'ясненнями як для бізнесу, так і для податківців.

Водночас Яна Бугрімова зауважує, що ДФС змушена діяти за законом, серед яких для відомства головний - Податковий кодекс. А він каже, що у податківців немає права самостійно переносити строки подання податкової звітності.

Єдиним дієвим рішенням, на думку Мінфіну, є термінове внесення змін до Податкового кодексу, які вже схвалив уряд.

У законопроекті уряд пропонує не застосовувати штрафні санкції за несвоєчасну реєстрацію податкових накладних, виписаних з 1 по 15 червня, якщо вони будуть зареєстровані до 15 липня.

Але, каже представниця міністерства фінансів, "в парламенті 450 людей, і вони збираються у відпустку" а отже, бізнесу "раціонально проробляти запасні варіанти".

Серед них може бути і звернення до Торгово-промислової палати (ТПП), яка має повноваження підтверджувати форс-мажорні обставини.

Поради від ТПП

ТПП вже заявила, що, безперечно, розглядатиме такі звернення від українських компаній. Але порадила перед зверненням отримати від Кіберполіції довідку про те, що на компанію справді було скоєно кібер-напад.

Копирайт изображения UCCI.ORG.UA
Image caption Торгово-промислова палата почала опитувати своїх клієнтів щодо того, як на них вплинула кібератака

"Звичайно, це форс-мажорні обставини. Саме тому ми рекомендуємо підприємцям, постраждалим від кібератаки, звернутися до Департаменту Кіберполіції Національної поліції України, - цитує сайт ТПП першого віце-президента палати Михайла Непрана. - Зі свого боку Торгово-промислова палата України зможе засвідчувати такі факти форс-мажорних обставин тільки на підставі документів, отриманих від Кіберполіції. На наш погляд, це має бути довідка або витяг про відкриття кримінального провадження".

Поки що Кіберполіція зареєструвала лише 2108 повідомлень про інфікування комп'ютерних мереж вірусом-шифрувальником, тоді як реальні масштаби нападу виглядають значно більшими.

Копирайт изображения AFP
Image caption Довідку про те, що кібератака створила непереборні обставини для бізнесу, ТПП може видати лише на основі висновків Кіберполіції

ТПП також зазначає, що проблема із неможливістю вчасно здійснити податкові платежі - не єдиний "головний біль" для бізнесу, що постраждав від кібератаки.

Друга проблема - неможливість своєчасно виконати свої контрактні зобов'язання.

"Деякі великі компанії через атаку вірусу навіть не можуть повноцінно зібрати інформацію про те, які зобов'язання за контрактами вони не можуть виконати",- йдеться у повідомленні ТПП.

М.Е. Doc і суди

Серед інших порад, які дає постраждалим компаніям радниця міністра фінансів Яна Бугрімова, - бути готовим звертатися до суду.

Ксенія Прокопова, адвокат і керівник практики управління конфліктами JUSCUTUM, каже, що її компанія не постраждала, але постраждали багато клієнтів.

"Хай мене вибачить компанія М.Е. Doc, але, очевидно, що вони (постраждалі компанії - Ред.) будуть намагатися не тільки довести несплату податків через форс-мажор, але й відшукати винного та відшкодувати збитки. Кілька наших клієнтів вже вирішили піти цим шляхом. Думаю, варто готуватися до колективних позовів".

Водночас Олександр Кочетков, виконавчий секретар Асоціації національних розробників програмного забезпечення, каже, що на місці бізнесменів не дуже розраховував би на такі позови, адже і саму М.Е. Doc. можуть визнати потерпілою стороною.

"Саме для цього у нас існує Рада Національної Безпеки і Оборони, аби за умов неоголошеної війни ухвалювати необхідні для країни рішення. Давайте усі - державні органи, бізнес - звернемося до РНБО з вимогою вирішити проблему, і вийдемо на узгоджені рекомендації, закріплені указами президента", - пропонує Олександр Кочетков.

На тому, що в Україні відсутнє законодавче поле, яке дозволило б у законний спосіб реагувати на подібні загрози, наголошує і голова правління Інтернет Асоціації України Олександр Федієнко.

"(Кібератака) показала, що в нашій країні, на жаль, немає законодавчого поля, в рамках якого можна було б працювати. У цій ситуації ми маємо об'єднатися і убезпечити, у першу чергу, самі себе".

Він нагадує, що зовсім нещодавно - у травні - депутати провалили голосування за законопроект про кібербезпеку, і відправили його на повторне друге читання.

Він припускає, що "до осені, як мінімум, ми залишимося у правовому вакуумі", а відтак, у бізнесу є лише технічні засоби захисту - "сам-на-сам" із нападниками.

Все тільки починається?

Копирайт изображения UNIAN
Image caption Серед потерпілих - системоутворюючий державний "Ощадбанк"

Утім, виглядає, що будь-які рекомендації можуть виявитися запізнілими.

Більшість експертів погоджується, що атака 27 червня може бути лише підготовкою до чогось більш масштабного. Крім того, досі достеменно невідомі справжні масштаби і цього нападу.

Наприклад, наразі не зрозуміло, чи отримали нападники доступ до унікальних ключів електронного цифрового підпису уражених вірусом компаній.

Якщо так, наслідки атаки можуть на порядок серйознішими, адже це зачепить і процес електронного документообігу.

Керівник компанії-розробника M.E.Doc Алеся Білоусова вже порадила клієнтам компанії особливо уважно поставити до комп'ютерів, які не вразив вірус Petya.A.

"Ті, хто кажуть, що вони "вижили", мають розуміти, що вірус там вже є. Як і коли він запуститься - ми не знаємо", - каже пані Білоусова.

Вона також заявила, що "зараз найголовніше - випустити оновлення, яке прибере вразливість до управління вірусом зовні". Проте як компанія, у якої вилучили сервісне обладнання, може це зробити, наразі невідомо.

Що це було?

Копирайт изображения AFP
Image caption Версії щодо мети атаки різняться, але експерти погоджуються, що це не просте здирництво

Сервісом M.E.Doc користуються близько 500 тисяч клієнтів, а загалом цей продукт встановлений на близько 1 млн комп'ютерів.

Олександр Кочетков з Асоціації національних розробників програмного забезпечення звертає увагу, що саме розробники M.E.Doc. були серед тих, хто агітував за перехід на вітчизняне програмне забезпечення по тому, як під санкції потрапили російські розробники іншого бухгалтерської програми С1.

"Версія певної помсти російських розробників одній із фірм, яка просувала український продукт, також має бути розглянута", - каже аналітик.

Водночас він зазначає, що це є лише побічна версія, адже масштаби атаки і її наслідки є значно ширшими, ніж окремі бізнес-інтереси.

"Ця кібератака - не тільки одна із найбільш потужних, вона принципово відрізняється від усіх інших. Її мета - з одного боку - дестабілізація ситуації в країні, хаос, і виклик соціального напруження. Друге - зараз Україну вдалося виставити певним дестабілізаційним фактором для всього світу", - каже Олександр Кочетков.

Аналітик також погоджується із припущеннями, що "вірус перебуває на значно більшій кількості комп'ютерів, ніж ми знаємо зараз", а відтак, "кібератака може бути відновлена у значно більшому масштабі".

"Однозначно, це не було намагання здерти кошти, це була потужна кібератака", - вважає Ілля Несходовський, директор Інституту соціально-економічної трансформації.

Він каже, що лише за попередніми оцінками те, що вже відбулося, може коштувати українській економіці 0,5% ВВП.

Але, зауважує економіст, "ніхто не знає, чи заражений вірусом, і коли він спрацює. Активація може бути і повторною. Як це буде зроблено, - також невідомо".

Доцент кафедри національної безпеки Національної академії державного управління при Президентові України Андрій Дацюк вважає, що тепер важливо усвідомити, що "поле бою переходить у кібернетичний простір", і поставитися до цього із максимальною серйозністю:

"Вразливість у кібернетичній сфері може коштувати дорого, бо це може паралізувати критичні об'єкти економічної і комунікаційної інфраструктури".

Що робити зараз?

Копирайт изображения Getty Images
Image caption Експерти радять не економіки на кібербезпеці

На час, поки державні органи визначаються із своєю відповіддю, експерти надають такі рекомендації власникам і менеджерам українських компаній:

Експерт: кіберзахист - це не параноя

  • запровадити обов'язкову практику кібергігієни компанії - "як почистити зуби",
  • регулярно проводити перевірки кібербезпеки - "як фінансовий аудит",
  • регулярно проводити тренінги для персоналу, зокрема, і для бухгалтерів із основ кібербезпеки,
  • регулярно перевіряти, як співробітники дотримуються правил кібербезпеки,
  • обов'язково зберігати "бек-апи" - резервні копії бухгалтерської звітності, фінансових документів, контрактів на незалежних носіях,
  • від'єднати комп'ютери фінансового відділу від загальної мережі компанії,
  • не відкривати листи, "яких не очікували", і одразу повідомляти про це ІТ - співробітників, на яких не варто економити.

Новини на цю ж тему