Банк «Уралсиб» и «Почта России» должны разделить ответственность за результаты атаки башкирских хакеров 2015 года, нанесшей банку ущерб в размере 8 млн рублей. В октябре 2015 года хакеры, подключившись к компьютеру отделения «Почты России» в Туймазах, сняли с банковского счета эту сумму, имитируя 553 платежа 545 абонентам «Билайна». В считанные минуты средства были обналичены. В банке несанкционированные транзакции установили только через сутки. В Туймазинском районном суде идет процесс над двумя участниками этой хакерской атаки.
В арбитражном суде завершился второй круг судебного разбирательства между банком «Уралсиб» и «Почтой России» о разделении ответственности за хакерскую атаку, предпринятую в Башкирии в ночь на 27 октября 2015 года. Тогда неизвестные хакеры, взломав компьютер отделения «Почты России» на улице Островского в Туймазах, имитировали оплату 553 физлицами платежей 545 абонентам «Билайна» на общую сумму 8,11 млн руб. По договору присоединения к системе денежных переводов, подписанному между «Уралсибом» и «Почтой России», эти средства были перечислены абонентам со счета банка. В течение пяти минут, как следует из материалов арбитражного суда, большая часть суммы — 8 млн руб.— была обналичена.
Договор между «Почтой России» и банком предусматривал, что банк исполняет платежные поручения клиентов «Почты», а та через сутки перечисляет банку уплаченные платежи за минусом комиссии.
После хакерской атаки, когда банк обратился за перечислением средств, в «Почте России» сообщили, что денежные средства по этим платежным поручениям в кассу предприятия не поступали, а сами платежи были несанкционированными.
Позже в «Почте России» установили, что сотрудник отделения, который работал за взломанным компьютером, перед уходом с работы не выключил его и не извлек флеш-карту с сертификатом для входа в систему платежей «Город».
Банк обратился с иском о взыскании ущерба в суд. Разбирательство сторон длилось два с половиной года. Представители банка в суде доказывали, что единственной причиной проведения спорных операций стало «ненадлежащее исполнение ответчиком обязательств по обеспечению конфиденциальности ключа шифрования и предотвращению доступа к оборудованию». Банк же, как заявляли представители «Уралсиба», только исполнял условия партнерского договора.
В свою очередь, представители «Почты России» возлагали вину за последствия хакерской атаки на банк, который «не проявил должной осмотрительности при осуществлении денежных переводов», а продемонстрировал «халатное отношение к случившемуся событию».
В первом круге разбирательства банк выиграл у «Почты России» две инстанции арбитражного суда. Тогда суды признали, что «Почта» не предоставила доказательств хакерской атаки. Однако так как в деле были материалы уголовного дела по факту хакерской атаки, кассация, изучив их, вернула дело на новое рассмотрение. Она указала на то, что выводы нижестоящих судов противоречат протоколам допроса предполагаемых хакеров.
Обвиняемыми по этому уголовному делу проходят три жителя Башкирии — некие А. Колонщаков, Р. Муксинов и З. Гаджикурбанов. Их действия квалифицируются как крупное мошенничество в сфере компьютерной информации (ч. 4 ст.159.6 УК РФ). В отношении двух обвиняемых дело слушается в Туймазинском районном суде, в отношении Гаджикурбанова оно выделено в самостоятельное производство. После совершения правонарушения у обвиняемого развилось хроническое психическое расстройство, следует из материалов районного суда.
При повторном разбирательстве арбитражные суды трех инстанций удовлетворили иск «Уралсиба» частично. Они обязали «Почту России» выплатить половину суммы ущерба — 3,97 млн руб., признав, что персонал «Почты» ненадлежащим образом исполнил свои обязанности по обеспечению безопасности платежей, а сотрудники банка не проверили легитимность суммы, которая существенно отличалась от обычного размера ежедневных поступлений плательщиков в этом почтовом отделении.
Решение кассационной инстанции по этому делу было опубликовано в минувшую субботу.
В пресс-службе регионального филиала «Почты России» заявили „Ъ“, что согласны с решением суда и не будут его оспаривать. Предприятие продолжает сотрудничество с «Уралсибом», сообщил „Ъ“ главный специалист по корпоративным коммуникациям УФПС по Башкирии Борис Слуцкий. Для предотвращения аналогичных инцидентов в филиале «Почты России» усилены меры информационной безопасности, установлена дополнительная защита системы сбора и обработки платежей, добавил он.
В пресс-службе «Уралсиба» на запрос не ответили.
Генеральный директор компании «Бэйсик консалтинг» Рауль Сайфуллин отмечает, что решение суда выглядит справедливым. «С одной стороны, будучи профессиональным участником платежной системы, банк должен проявлять осмотрительность при совершении нестандартных операций. С другой — никто не снимает вины с сотрудников «Почты России», действия которых привели к несанкционированному доступу. Обжаловать судебные акты для любой из сторон смысла нет, но это не исключает право потерпевших взыскать ущерб с подсудимых в рамках уголовного дела. Правда, перспектива исполнения такого вердикта сомнительна»,— заключил эксперт.