“Valstij ģēniji ir jāalgo, nevis jātiesā!” Ažiotāža ap LVM kiberuzbrukuma skandālā ierauto Elvisu Strazdiņu nerimst 0
Programmatūras inženieris un tehnoloģiju entuziasts Elviss Strazdiņš, kurš pirms nedēļas dalījās ar informāciju par to, kas veikuši kiberuzbrukumu AS “Latvijas valsts meži” (LVM), soctīklos paziņoja, ka pret viņu sākts kriminālprocess. Taču Valsts policija ziņo, ka tā pārbauda kādas ar incidentu nesaistītas personas rīcību jau iepriekš sāktā kriminālprocesa ietvaros saistībā ar LVM piedzīvoto kiberuzbrukumu.
Policija pirmdien paziņoja, ka ir konstatējusi gadījumu, kad kāda persona patvaļīgi un nesankcionēti uzdevusies par LVM pārstāvi un valsts institūciju vārdā bez pilnvarojuma veikusi darbības, tostarp sazinājusies ar iespējamo kibernoziedznieku un vedusi sarunas par potenciālu izpirkuma maksu datu atšifrēšanai.
Valsts policija uzsver, ka šīs darbības nav bijušas saskaņotas ne ar vienu incidenta risināšanā un izmeklēšanā iesaistīto institūciju. Tāpat policija norāda, ka minētos apstākļus pašlaik vērtē jau iepriekš sāktā kriminālprocesa ietvaros, kas saistīts ar kiberuzbrukumu LVM infrastruktūrai. “Neviena persona nav aizturēta,” uzsvērusi policija.
Pirms policijas paziņojuma kiberdrošības eksperts Elvis Strazdiņš sociālajā tīklā “X” rakstīja: “Tā vietā, lai pateiktu man paldies, pret mani uzsākts kriminālprocess.”.
Vienlaikus policijas publiskotajā informācijā nav minēts neviens konkrēts vārds, kā arī netiek tieši apstiprināts, ka kriminālprocess būtu sākts tieši pret kādu konkrētu personu. Policija norāda vienīgi uz pārbaudes darbībām jau esoša kriminālprocesa ietvaros.
Tikmēr Latvijas Universitātes Matemātikas un informātikas institūta mākslīgā intelekta laboratorijas pētnieks Ilmārs Poikāns vietnē “X” asi komentējis notikušo.
Citējot frāzi par “neatgriezeniskām sekām” un “būtiskiem riskiem”, viņš ironizē, ka uzņēmums ir “apdir*ies pēc pilnas programmas”.
Pēc Ilmāra Poikāna domām, sekas jau ir iestājušās, un šajā situācijā no Strazdiņa tiek mēģināts izveidot ļoti ērtu grēkāzi.
Valstij ģēniji ir jāalgo
Savu viedokli par neskaidro situāciju sociālo tīklo platformā “Facebook” paudis arī Zvērināta advokāta Laura Klagiša birojs, analizējot situāciju no juridiskā viedokļa.
Ierakstā teikts: “Kā advokātu birojs mēs uzskatām, ka šī situācija atspoguļo bīstamu tendenci. Valsts iestādes formāli piemēro likumu pret jomas pētniekiem, aizmirstot par veselo saprātu un sabiedrības interesēm.
Saskaņā ar policijas paziņojumu, persona esot “patvaļīgi un nesankcionēti izlikusies par Latvijas valsts mežu pārstāvi” un “valsts institūciju vārdā bez jebkādas pilnvaras veica darbības, tostarp saziņu ar kibernoziedznieku”. Juridiski šāda rīcība varētu tikt vērtēta divu Krimināllikuma (KL) pantu ietvaros: KL 273. pants: Valsts amatpersonas nosaukuma un varas patvaļīga piesavināšanās. KL 279. pants: Patvarība (darbības veikšana patvaļīgi, apejot likumā noteikto kārtību).
No izmeklētāju skatupunkta nesaskaņota iejaukšanās var tikt tulkota kā traucēklis. Taču kriminālatbildības iestāšanās prasa pilnu noziedzīgā nodarījuma sastāvu, un tieši šeit izmeklētāju konstruētā iespējamā apsūdzība ir ārkārtīgi vāja. Analizējot tiesu praksi, ir skaidri redzams, ka krimināllietās pēc minētajiem pantiem personas tiek attaisnotas, ja izmeklētāji nespēj pierādīt noziedzīgu nodomu vai reālu, būtisku kaitējumu.
Noziedzīga nolūka (subjektīvās puses) trūkums. (KL 273. pants) Krimināllikuma 273. pants paredz atbildību par valsts amatpersonas nosaukuma vai varas patvaļīgu piesavināšanos tikai tad, ja tas darīts “nolūkā izdarīt noziedzīgu nodarījumu”. Tiesu praksē vainīgos notiesā tad, ja viņi, piemēram, uzdodas par policistiem, lai no iedzīvotājiem izkrāptu naudu (kā to rāda vairākas krāpšanas lietas Latgales un Rīgas tiesās), vai izliekas par inspektoriem mantkārīgos nolūkos.
Elvja Strazdiņa rīcībā šāda noziedzīga nolūka (piemēram, vēlmes pašam piesavināties hakera pieprasītos līdzekļus) nebija. Viņa mērķis bija pētnieciska interese, t.s. kiberizlūkošana (Threat Intelligence), un sabiedrības informēšana. Augstākās tiesas prakse skaidri nostiprina principu: ja nav pierādāms personas tiešs nodoms veikt pašu prettiesisko rīcību, persona ir jāattaisno.
Būtiska kaitējuma neesamība (Patvarības jeb KL 279. panta gadījumā). Ja kriminālprocesu mēģina virzīt par patvarību, izmeklētājiem ir neapgāžami jāpierāda, ka rīcība radījusi būtisku kaitējumu. Policijas paziņojumā minēts, ka šāda saziņa ar hakeri “var ietekmēt izmeklēšanas gaitu”. Augstākās tiesas (Senāta) judikatūrā (piem., lietā SKK-257/2011) ir nostiprināta atziņa, ka ar abstraktiem riskiem un pieņēmumiem, ka kaitējums “varēja rasties”, krimināltiesībās nepietiek.
Būtiskam kaitējumam ir jābūt reālam un objektīvi pierādāmam. Ja apsūdzība nespēj pierādīt, ka eksperta rīcība tiešā veidā neatgriezeniski iznīcināja konkrētus digitālos pierādījumus, kuru dēļ noziedznieks netika notverts, persona par patvarību ir attaisnojama. Tiesa nevar notiesāt par to, ka eksperta rīcība radīja iestādēm neērtības, atklājot publiski noliegtu informāciju.
Valstij ģēniji ir jāalgo, nevis jātiesā! Šis kriminālprocess atklāj satraucošu valsts iestāžu izpratnes trūkumu par mūsdienu kiberdrošību.
Publiski izskanējusī informācija, ka LVM infrastruktūra tika uzlauzta, izmantojot pat 7 gadus vecu programmatūras ievainojamību, liecina par kritisku IT higiēnas un drošības deficītu pašā sistēmā. Tā vietā, lai iedarbinātu represīvo aparātu pret nozares entuziastu, valsts iestādēm būtu nevis jāvēršas pret viņu, bet visiem spēkiem jācenšas šo IT ģēniju nolīgt darbā.
Attīstītajās pasaules valstīs un globālajās korporācijās šādi “baltie hakeri” (white-hat hackers) tiek aicināti sadarboties un dāsni atalgoti par atklātajām kļūdām. Elvja Strazdiņa un līdzīgu ekspertu prasmes Latvijas valstij būtu mērķtiecīgi jāizmanto valsts IT sistēmu testiem un regulārām drošības pārbaudēm (penetration testing); Drošības protokolu uzlabošanai, pirms sistēmas uzlauž naidīgi ārvalstu grupējumi, kā arī incidentu izmeklēšanā kā augsta līmeņa neatkarīgus pētniekus.
Sākot kriminālprocesus pret trauksmes cēlējiem un ekspertiem, tiek radīts bīstams “atvēsinošais efekts” (chilling effect). Kad nākamreiz kāds talantīgs IT speciālists pamanīs ievainojamību e-veselībā, valsts reģistros vai kritiskajā infrastruktūrā, viņš klusēs, pamatoti baidoties no policijas represijām. Krimināltiesībām ir jābūt galējam līdzeklim, kas vērsts pret reāliem noziedzniekiem – tiem, kuri datus izspiež, nevis tiem, kuri pēta to metodes.
No juridiskā un aizstāvības viedokļa, Krimināllikuma normu inkriminēšana Elvim Strazdiņam ir uzskatāma par nepamatotu. Sastāva būtiskāko pazīmju – noziedzīga nodoma un reāla būtiska kaitējuma – trūkums ir spēcīgs pamats, lai šādās lietās tiktu pieņemti attaisnojoši nolēmumi vai process tiktu izbeigts.”
Pats “vaininieks” sacelto ažiotāžu gan komentējis ļoti lakoniski.
Jau ziņojām, ka Strazdiņš iepriekš publiski pauda, ka sazinājies ar personu vai grupējumu, kas uzņēmies atbildību par uzbrukumu LVM, un noskaidrojis iespējamo izpirkuma maksas apmēru. Pēc viņa sniegtās informācijas, uzbrucēji par datu atšifrēšanu vēlējušies saņemt 0,1% no uzņēmuma gada ieņēmumiem jeb vairāk nekā 600 000 eiro.
Tikmēr LVM aģentūrai LETA pirmdien apliecināja, ka neviens nav vērsies pie uzņēmuma ar prasību maksāt izpirkuma maksu. Uzņēmums arī uzsvēra, ka pat šādas prasības gadījumā izpirkuma maksa netiktu maksāta.
Jau vēstīts, ka atbildību par kiberuzbrukumu LVM uzņēmies ārvalstu izspiedējvīrusu jeb “ransomware” grupējums. Saistībā ar incidentu Valsts policija iepriekš sākusi kriminālprocesu, bet kiberincidenta apstākļu skaidrošanā iesaistījusies arī institūcija “Cert.lv”.
