Во сколько обошлась кибератака бизнесу и что делать?

Головпоштамт Копірайт зображення UNIAN
Image caption Даже крупнейшие государственные учреждения и компании оказались не готовы к нападению из киберпространства. 27 июня Главпочтамт Киева не работал по "техническим причинам"

Экономические последствия масштабной кибератаки, которая поразила ряд украинских государственных органов, банков, крупных и малых компаний, сейчас трудно подсчитать.

Во-первых, эксперты не уверены, завершилась ли эта атака, или же она была лишь подготовкой к чему-то более масштабному.

Во-вторых, до сих пор неизвестно, сколько компьютеров на самом деле были поражены вирусом.

Но о некоторых серьезных последствиях атаки для украинского бизнеса известно уже сейчас. И они требуют безотлагательных действий.

Кибератака - не форс-мажор?

Через неделю после того, как была совершена атака, эксперты киберполиции и ИТ-компаний согласились, что заражение компьютерных систем вирусом Petya.A происходило через программное обеспечение для бухгалтерского учета M.E.Doc.

Как объясняет советник министра финансов Яна Бугримова, "кибератака непосредственно затронула налогоплательщиков, а также их способность выполнять свои налоговые обязательства".

"К счастью, момент атаки не совпал по срокам с подачей основной отчетности, - ни по НДС, ни по налогу на прибыль. Но это единственный "плюс", - говорит представитель министерства финансов. - Что касается "минусов", то речь идет о регистрации налоговых накладных, которые критичны для бизнеса".

Налоговые накладные - документы, которые плательщик налога на добавленную стоимость обязан предоставить покупателю.

Согласно законодательству, штрафные санкции за несвоевременную регистрацию накладных - очень высоки. И срок подачи налоговых накладных пришелся именно на время атаки.

При этом, говорит Яна Бугримова, к сожалению, действующий налоговый кодекс не предусматривает возможности избежать штрафных санкций за несвоевременную подачу накладных, даже в случае возникновения форс-мажорных обстоятельств.

Копірайт зображення UNIAN
Image caption Из-за атаки хакеров частная компания экспресс-доставки "Новая почта" не смогла обслуживать клиентов

"Штрафовать за то, что разбомбили ваш дом, абсолютно некорректно", - отмечает Илья Несходовский, директор Института социально-экономической трансформации.

Он считает, что Минфин, в подчинении у которого находится Государственная фискальная служба, должен взять инициативу на себя и выступить с разъяснениями как для бизнеса, так и для налоговиков.

В то же время Яна Бугримова отмечает, что ГФС вынуждена действовать согласно букве закона, главным из которых для ведомства является Налоговый кодекс. А он гласит, что налоговики не вправе самостоятельно переносить сроки подачи налоговой отчетности.

Единственным эффективным решением, по мнению Минфина, является внесение в срочном порядке изменений в Налоговый кодекс, которые уже были одобрены правительством.

В своем законопроекте правительство предлагает не применять штрафные санкции за несвоевременную регистрацию налоговых накладных, выписанных с 1 по 15 июня, если они будут зарегистрированы до 15 июля.

Однако, говорит представитель министерства финансов, "в парламенте 450 человек, и они собираются в отпуск", а значит бизнесу следует "проработать запасные варианты".

Среди них может быть и обращение в Торгово-промышленную палату (ТПП), которая имеет полномочия подтверждать форс-мажорные обстоятельства.

Советы от ТПП

ТПП уже заявила, что, безусловно, рассмотрит такие обращения от украинских компаний. Однако посоветовала перед этим получить от киберполиции справку о том, что на компанию действительно была совершена кибератака.

"Конечно, это - форс-мажорные обстоятельства. Именно поэтому мы рекомендуем предпринимателям, пострадавшим от кибератаки, обратиться в Департамент киберполиции Национальной полиции Украины, - цитирует сайт ТПП первого вице-президента палаты Михаила Непрана. - Со своей стороны Торгово-промышленная палата Украины сможет подтвердить факты форс-мажорных обстоятельств только на основании документов, полученных от киберполиции. На наш взгляд, это должна быть справка или выписка об открытии уголовного производства".

Пока Киберполиция зарегистрировала только 2108 сообщений об инфицировании компьютерных сетей вирусом-шифровальщиком, тогда как его реальные масштабы, похоже, гораздо более значительны.

Копірайт зображення AFP
Image caption Справку о том, что кибератака создала непреодолимые обстоятельства для ведения бизнеса, ТПП может выдать только на основе выводов Киберполиции

ТПП также отмечает, что проблема с невозможностью вовремя совершить налоговые платежи - не единственная "головная боль" для бизнеса, пострадавшего от кибератаки.

Вторая проблема - невозможность своевременно выполнить свои договорные обязательства.

"Некоторые крупные компании из-за атаки вируса даже не могут полноценно собрать информацию о том, какие обязательства по контрактам они не могут выполнить", - говорится в сообщении ТПП.

М.Е. Doc и суды

Помимо всего прочего, советник министра финансов Яна Бугримова советует пострадавшим компаниям быть готовыми обратиться в суд.

Ксения Прокопова, адвокат и руководитель практики управления конфликтами JUSCUTUM, говорит, что ее компания не пострадала, но пострадали многие клиенты.

"Да простит меня компания М.Е. Doc, но, очевидно, что они (пострадавшие компании. - Ред.) будут пытаться не только доказать неуплату налогов в результате форс-мажора, но и найти виновного, и возместить убытки. Несколько наших клиентов уже решили пойти этим путем. Думаю, стоит готовиться к коллективным искам".

В то же время Александр Кочетков, исполнительный секретарь Ассоциации национальных разработчиков программного обеспечения, говорит, что на месте бизнесменов не особо рассчитывал бы на такие иски, ведь и саму М.Е. Doc. могут признать потерпевшей стороной.

"Именно для этого у нас существует Совет Национальной Безопасности и Обороны, чтобы в условиях необъявленной войны принимать необходимые для страны решения. Давайте все - государственные органы, бизнес - обратимся к СНБО с требованием решить проблему, и выйдем на согласованные рекомендации, закрепленные указами президента" - предлагает Александр Кочетков.

На том, что в Украине отсутствует законодательное поле, которое позволило бы законно реагировать на подобные угрозы, акцентирует внимание и глава правления Интернет Ассоциации Украины Александр Федиенко.

"(Кибератака) показала, что в нашей стране, к сожалению, нет законодательного поля, в рамках которого можно было бы работать. В этой ситуации мы должны объединиться и обезопасить себя сами".

Он напоминает, что совсем недавно - в мае - депутаты провалили голосование по законопроекту о кибербезопасности и отправили его на повторное второе чтение.

Он предполагает, что "к осени, как минимум, мы останемся в правовом вакууме", а потому у бизнеса есть только технические средства защиты - "один на один" с преступниками.

Все только начинается?

Копірайт зображення UNIAN
Image caption Среди пострадавших - системообразующий государственный "Ощадбанк"

Впрочем, похоже, что любые рекомендации могут оказаться запоздалыми.

Большинство экспертов соглашается, что атака 27 июня может быть лишь подготовкой к чему-то более масштабному. Кроме того, истинные масштабы этого нападения до сих пор неизвестны.

Например, пока не ясно, получили ли нападавшие доступ к уникальным ключам электронной цифровой подписи пораженных вирусом компаний.

Если да, то последствия атаки могут быть на порядок серьезнее, ведь это затронет и процесс электронного документооборота.

Руководитель компании-разработчика M.E.Doc Алеся Белоусова советует клиентам внимательно отнестись к компьютерам, которые еще не пострадали от вируса Petya.A.

По ее словам, эти компьютеры также заражены вирусом, просто он может сработать позже.

"Те, кто говорят, что они "выжили", должны понимать, что вирус там уже есть. Как и когда он запустится - мы не знаем", - говорит Белоусова.

Она также заявила, что "сейчас самое главное - выпустить обновление, которое уберет уязвимость к управлению вирусом извне". Однако как компания, у которой изъяли сервисное оборудование, может это сделать, пока неизвестно.

Что это было?

Копірайт зображення AFP
Image caption Версии относительно цели атаки разнятся, но эксперты соглашаются, что это не просто вымогательство

Сервисом M.E.Doc пользуются около 500 тысяч клиентов, в общей сложности этот продукт установлен на порядка 1 млн компьютеров.

Александр Кочетков из Ассоциации национальных разработчиков программного обеспечения обращает внимание, что именно разработчики M.E.Doc. были среди тех, кто агитировал за переход на отечественное программное обеспечение после того, как под санкции попали российские разработчики другой бухгалтерской программы С1.

"Версия мести российских разработчиков одной из фирм, которая продвигала украинский продукт, также должна быть рассмотрена", - говорит аналитик.

В то же время он отмечает, что это лишь второстепенная версия, ведь масштабы атаки и ее последствия значительно шире, чем отдельные бизнес-интересы.

"Эта кибератака - не только одна из самых мощных, она принципиально отличается от всех остальных. Ее цель - с одной стороны - дестабилизация ситуации в стране, хаос и вызов социального напряжения. Второе - сейчас Украину удалось выставить определенным дестабилизирующим фактором для всего мира" , - говорит Александр Кочетков.

Аналитик также соглашается с предположениями, что "вирус проник в значительно большее количество компьютеров, чем мы знаем сейчас", а значит, "кибератака может быть возобновлена в существенно более крупном масштабе".

"Однозначно, это не была попытка содрать деньги, это была мощная кибератака", - считает Илья Несходовский, директор Института социально-экономической трансформации.

Он говорит, что только по предварительным оценкам то, что уже произошло, может стоить украинской экономике 0,5% ВВП.

Но, отмечает экономист, "никто не знает, заражен ли он вирусом, и когда он сработает. Активация может быть и повторной. Как это будет сделано - также неизвестно".

Доцент кафедры национальной безопасности Национальной академии государственного управления при Президенте Украины Андрей Дацюк считает, что теперь важно понять, что "поле боя переходит в кибернетическое пространство" и отнестись к этому с максимальной серьезностью:

"Уязвимость в кибернетической сфере может стоить дорого, это может парализовать критически важные объекты экономической и коммуникационной инфраструктуры".

Что делать сейчас?

Копірайт зображення Getty Images
Image caption Эксперты советуют не экономить на кибербезопасности

А пока государственные органы определяются со своим ответом, эксперты предоставляют владельцам и менеджерам украинских компаний следующие рекомендации:

  • ввести обязательную практику кибергигиены компании - "как почистить зубы",
  • регулярно проводить проверки кибербезопасности - "как финансовый аудит",
  • регулярно проводить тренинги для персонала, в том числе и для бухгалтеров по основам кибербезопасности,
  • регулярно проверять, как сотрудники соблюдают правила кибербезопасности,
  • обязательно сохранять "бэк-апы" - резервные копии бухгалтерской отчетности, финансовых документов, контрактов на независимых носителях,
  • отсоединить компьютеры финансового отдела от общей сети компании,
  • не открывать письма, "которых не ожидали", и сразу сообщать об этом ИТ-персоналу, на котором не стоит экономить.

Новости по теме