Зеркальный ответ: к чему может привести решение суда о проверке подлинности сайтов

Прецедентное дело

Верховный суд рассмотрел спор москвички с сервисным центром, которому она через курьера компании передала моноблок PC MSI Trident 3 для ремонта, но техника вопреки желанию клиента была утилизирована, сообщает РАПСИ. Из материалов дела следует, что клиентка нашла данные сервисного центра в интернете на сайте с аналогичным названием, как и сломанный моноблок. Она связалась с компанией, которая и прислала ей курьера для сдачи техники в ремонт, взамен получила копию договора и чек. Однако ответчик утверждал, что вообще не получал моноблок, приезжавший к потребителю курьер у них не работает, а договор на оказание услуг является подделкой.

Суды трех инстанций поддержали доводы ремонтной компании и признали договор недействительным. Однако Судебная коллегия ВС по гражданским делам направила дело на новое рассмотрение в суд первой инстанции, посчитав, что «обязанность опровергнуть принадлежность сайта, номера телефона, а также доказать несоответствие адреса, ОГРН и ИНН сервисного центра реквизитам ответчика, подлежала возложению на Общество, обязанное как участник профессионального рынка следить за предложением в сети Интернет услуг от его имени». Вместо этого суды переложили бремя доказательств на плечи истицы, которая не располагает средствами для выявления ложного предложения услуг от имени ответчика, сделали вывод в высшей инстанции.

Forbes опросил экспертов, что они думают об этом решении и к чему оно может привести.

В ожидании повторного рассмотрения

Говорить о том, что текущее определение Верховного суда обязывает все компании следить за отсутствием фишинговых сайтов-клонов, все же рано, подчеркивают аналитики. Дело направлено на рассмотрение в суд первой инстанции, поэтому судебное решение об ответственности юрлица не принято, обращает внимание CEO разработчика сервисов управления уязвимостями и цифровыми угрозами Cicada8 Алексей Кузнецов. Но если это произойдет, то реальные последствия для рынка, по его мнению, будут зависеть от того, насколько распространенной станет практика возбуждения таких дел.

«Скажем, несмотря на большое количество утечек персональных данных в последние годы и строгость закона, практически нет кейсов, где пострадавшие подали бы в суд на компанию, допустившую утечку, и получили бы адекватную компенсацию», — говорит эксперт.

Выводы о всеобщей ответственности интернет-ресурсов за отслеживание своих двойников явно преждевременны, согласна управляющий партнер Seven Hills Legal Юлия Гуриева. В целом отслеживание и устранение мошенников, мимикрирующих под личину настоящего сервиса, вполне ожидаемое и экономически обоснованное поведение для предпринимателя, считает она: «Но говорить о том, что это его ответственность, нельзя, и Верховный суд этого не требует. Согласно позиции суда, высказанной в этом деле, доказывание факта того, что ответчик не имел никакого отношения к сайту мошенников, является бременем ответчика, а вопрос о том, кому принадлежит сайт мошенников, должен быть исследован судом».

Организациям важно не допускать, чтобы кто-то от их лица вел противоправную деятельность — заключал поддельные договоры и выполнял или навязывал услуги, говорит гендиректор Security Vision Руслан Рахметов: «Крупные организации осведомлены о подобных юридических рисках и пользуются соответствующими решениями для защиты бренда компании от различных мошеннических действий, включая создание фишинговых сайтов, рассылку спама и распространение контрафакта от имени компании». Такие защитные решения собирают информацию о новых доменах от регистраторов доменных имен, автоматически изучают содержимое веб-страниц на наличие упоминаний бренда и его логотипов, обрабатывают жалобы от интернет-пользователей, перечисляет он.

Многие компании, особенно крупные бренды, следят за появлением фишинговых страниц, действующих от их имени, продолжает Кузнецов. «Но сейчас это делается исключительно для поддержки деловой репутации и лояльности пользователей, — считает он. — Если суд примет решение в пользу истца, это создаст дополнительные юридические риски для компаний на рынке и будет способствовать более широкому использованию сервисов по защите бренда, особенно, если при этом сложится активная практика судебных исков от граждан».

Источник на рынке кибербезопасности считает, что пока нет требований регулятора и штрафов за их неисполнение, компании скорее предпочтут точечно разбираться с такими делами. «Большие бренды могут инвестировать в контроль фишинга от их имени и в большинстве своем уже делают это, а маленькие — нет. Они присоединятся к тренду, только если их обяжут», — говорит собеседник Forbes.

Решение Верховного суда создает новый уровень ответственности для компаний, работающих онлайн, так как теперь им придется не только защищать свои ресурсы, но и активно мониторить сеть на предмет фишинговых клонов, рассуждает ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов. Это, по его словам, может привести к росту затрат на кибербезопасность и появлению новых сервисов по обнаружению фишинга, а также к судебным искам к бизнесу со стороны пострадавших. «Кибермониторинг и реагирование на инциденты становятся обязательной частью операционной деятельности, а игнорировать фишинг уже нельзя. Для пользователя это потенциально более безопасная среда, но и косвенное удорожание товаров и услуг, так как расходы на защиту будут включены в цену», — предостерегает Козлов.

Верховный суд указал, что профессиональные участники рынка должны следить за предложением услуг от их имени в интернете, при этом он не привел каких-либо конкретных норм права, из которых такая обязанность следует, поэтому пока неясно, как именно позиция Верховного суда будет применяться на практике, считает руководитель департамента разрешения споров и взаимодействия с контролирующими органами «Авито» Наталья Равинская. Окончательные последствия станут ясны после повторного рассмотрения дела и вынесения новых судебных актов, говорит она.

«Вопросы остаются»

С 2022 года Минцифры применяет информационную систему мониторинга фишинговых сайтов «Антифишинг», с помощью которой было заблокировано уже несколько сотен тысяч фишинговых сайтов, а интернет-пользователи могут подать жалобу на вредоносный ресурс через нее или через портал госуслуг. Кроме того, проект «Доменный патруль» от Координационного центра доменов .ru/.рф, в который входят 12 профильных компетентных организаций, выполняет блокировку фишинговых ресурсов в российских доменах и тоже принимает жалобы на вредоносные сайты от пользователей, а затем отправляет обращения регистраторам с требованием прекратить делегирование мошеннических доменных имен.

Пока сложно оценить последствия решения, потому что оно вынесено по конкретному иску, размышляет бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. По его мнению, ситуация может измениться в случае увеличения числа исков со стороны граждан в отношении юридических лиц, которые не следят за сайтами-клонами в интернете. «Тогда решение Верховного суда может стать основанием для пересмотра многих дел и можно будет говорить о том, что это уникальный случай, когда суд обязывает все юридические лица в стране, которые имеют хотя бы интернет-витрину своего бизнеса, автоматически и на ежедневной основе мониторить интернет на предмет мошеннических сайтов, которые копируют или маскируются под легальный сайт бизнеса», — полагает он.

Сама по себе задача мониторинга не является сложной, продолжает Лукацкий, существует немалое количество сервисов, которые такую услугу предоставляют. «Но решение Верховного суда еще раз обращает внимание на то, что кибербезопасность сегодня становится неотъемлемой частью нашей жизни, а любой бизнес, невзирая на то, крупный он или небольшой, обязан следить за безопасностью своих ресурсов в интернете и защищать клиентов от различных мошеннических действий», — заключает он.

Впрочем, с тем, что осуществлять мониторинг — несложная задача, не совсем согласен директор по продуктам Servicepipe Михаил Хлебунов. Оперативно выявлять фишинговые сайты, мимикрирующие под тех или иных реальных участников рынка, совсем не просто, настаивает он. «Не знаю, как это реализовать без технически сложных историй, LLM и какого-то сканирования, алгоритмов сбора и анализа информации, — говорит Хлебунов. — Кроме того, реализация этой инициативы может привести к дополнительному сканированию участниками рынка друг друга, что будет означать появление ощутимого объема трафика, который будет давать дополнительную нагрузку и в то же время являться нецелевым для владельца сайтов». Инициативу саму по себе он считает «хорошей» и «направленной на защиту прав пользователей», но с точки зрения ее технической реализации «остаются вопросы», резюмирует эксперт.

Необходимость организаций следить за фишинговыми ресурсами и противоправным использованием бренда не должна приводить к возможностям злоупотреблений со стороны недобросовестных потребителей, уверен Руслан Рахметов. «Следует учитывать вероятность намеренного использования потребителями поддельных сайтов в погоне за низкой ценой услуг или продуктов, которые окажутся поддельными, с последующим взысканием компенсации с настоящей компании, — рассуждает он. — Кроме того, скорость появления новых мошеннических ресурсов такова, что успеть их отследить сложно чисто технически, несмотря на применение продвинутых средств автоматизации для поиска вредоносных сайтов. Таким образом, вопрос бдительности и кибергигиены в целях защиты от фишинга и кибермошенничества должен оставаться приоритетным прежде всего для самих потребителей».