Латгальский окружной суд по обвинениям в вымогательстве осудил известного в Латвии изобретателя Раймонда Скурулса, обнаружившего "дыру" в безопасности в IT-системе Дирекции безопасности дорожного движения (CSDD), проинформировал об этом и призвал заплатить за вклад в проверку системы 1000 евро. Это было оценено как вымогательство, пишет Latvijas Avīze.
CSDD и Госполиция в ноябре 2018 года заявили, что якобы выявили несанкционированную попытку некоего лица получить доступ к реестру транспортных средств и попытку вымогательства денег. Должностные лица отдела Госполиции по борьбе с киберпреступлениями тогда начали уголовный процесс по части первой статьи 183, части третьей статьи 241 и части четвертой статьи 15 Уголовного закона, а именно по факту попытки помешать работе информационной системы и попытки вымогательства в корыстных целях.
Полиция тогда задержала Скурулса, которого на пару дней поместили в изолятор кратковременного задержания. Скурулс — радиоинженер и инженер-конструктор, которому в свое время за изобретение была вручена престижная награда Валтера Цаппа Латвийской академии наук и Латвийской патентной управы.
Как отмечает издание, в октябре 2018 года Скурулс позвонил в CSDD, назвал свое имя и сообщил, что он констатировал возможную уязвимость авторизации в электронных услугах, предоставляемых CSDD, в связи с "Государственным реестром транспортных средств и их водителей". Сотрудники CSDD несколько раз отправляли звонившего от одного лица к другому, пока Скурулс не попросил связаться с ним какого-нибудь консультанта, компетентного в этом вопросе и понимающего серьезность проблемы.
CSDD привлек в качестве консультанта для связи со Скурулсом юридическое лицо WeAreDots. От имени этой компании со Скурулсом связался руководитель группы решений по безопасности информационных технологий (IT) Каспар Лицис. Когда CSDD все же восприняла предупреждение об уязвимости авторизации всерьез, она параллельно начала проверку безопасности своего реестра. Для этого назначили трех сотрудников CSDD - программистов, которым затем за сверхурочную работу было заплачено 3074,52 евро. После недели работы одна уязвимость была обнаружена, только специалистам CSDD было непонятно, та ли это, о которой предупредил Скурулс. Как позже выяснилось, это был другой дефект информационной системы CSDD, но в каком-то смысле похожий, так как в модуле единого входа существовала возможность авторизоваться с идентичностью другого лица.
При этом сотрудник WeAreDots Лицис продолжал общаться со Скурулсом. Изобретатель тоже потратил на открытие недоработки много часов своей работы, поэтому он посчитал, что ему не нужно дарить свой вклад и он захотел за свою услугу вознаграждение в 1000 евро. После общения WeAreDots заключил договор с компанией Скурулса Acoustic Power LAB. В договоре было сказано, что сначала Скурулс направит Лицису все имеющиеся у него материалы об уязвимости авторизации, тогда WeAreDots проверит их и оценит, действительно ли у системы безопасности CSDD есть такая проблема. Констатировав, что уязвимость реальна, Лицис должен был сообщить Скурулсу, чтобы тот от имени своего предприятия выписал счет на 1000 евро.
"Сотрудничество" привело к тому, что руководство CSDD в конце октября обратилось с заявлением в Госполицию, которая начала уголовный процесс. Как отмечает издание, ситуацию в деле Скурулса усугубляет то, что, общаясь с сотрудниками CSDD, он заявил - в случае, если они ничего не сделают, он проинформирует о "дыре" в системе безопасности латвийское общество, используя для этого средства массовой информации.
В сентябре 2021 года решением Резекненского суда Скурулс был признан виновным и оштрафован на 12 минимальных месячных зарплат. Пострадавшее предприятие, или CSDD, считает, что изобретатель своей информацией об уязвимости авторизации к тому же нанес существенный материальный ущерб в размере 3459,52 евро, который складывался как оплата труда трем программистам CSDD, которые в течение недели так и не нашли "дыру в системе", и компании по WeAreDots за консультации.
Обвиняемый обжаловал решение суда первой инстанции в Латгальском окружном суде, который постановил признать его невиновным и оправдать. С таким приговором не мирился прокурор, который обратился с кассационной жалобой в Верховный суд. Три сенатора приняли решение отменить вердикт Латгальского окружного суда от 2 июня 2022 года полностью и направить дело на новое рассмотрение в Латгальский окружной суд. В этом месяце Латгальский окружной суд постановил оставить в силе решение Резекненского суда, согласно которому Раймонд Скурулс должен заплатить штраф (8400 евро), а также компенсировать CSDD якобы причиненный имущественный ущерб - 3459,52 евро. Приговор еще не вступил в силу, так как Скурулс сможет обжаловать его в Сенате Верховного суда.
Seko "Delfi" arī vai vai Instagram vai YouTube profilā – pievienojies, lai uzzinātu svarīgāko un interesantāko pirmais!
