Практическое руководство по защите программного кода от кражи

Программный код – нематериальный актив компании. Он имеет значимую для организации ценность (автоматизирует процессы, делает некий продукт эффективнее и т.п.), дорого стоит (в рублях, в затратах человеко-часов на его разработку и других измерителях), может выступать источником дохода и используется длительное время (более 12 месяцев).

Программный код могут украсть конкуренты, киберпреступники, настоящие и бывшие сотрудники компании и другие лица. Негативные последствия их действий могут быть различны: от катастрофических до минимальных.

Для того, чтобы защитить программный код от кражи, целесообразно предпринять комплекс организационных, юридических и технических мер.

Почему только технических мер недостаточно для защиты программного кода?

Многие руководители и разработчики ошибочно полагаются исключительно на технические средства защиты программного обеспечения: файрволы, DLP-системы, шифрование и другие. Однако этот подход в корне неверен. Технические средства не защитят ваши права на код, не докажут ваше авторство в суде и не предотвратят юридические конфликты с сотрудниками и разработчиками программного обеспечения.

Кража кода – это еще и правовая проблема, которая может быть связана с некорректным составлением служебной документации, недоработанными регламентами для персонала, юридически неопределенными условиями договоров, заключённых с разработчиками программного обеспечения.

Так, в одном из случаев digital-агентство должно было создать по заказу компании сайт. По условиям договора исключительные права на него переходили к компании только после полного завершения работ и подписания акта приема-передачи. Агентство разработало основной функционал сайта и передало его экземпляр заказчику. Окончательная доработка сайта затянулась. В связи с этим заказчик начал использовать сайт и самостоятельно дополнил его функционал. Веб-агентство обратилось в суд, который постановил, что компания-заказчик не вправе использовать сайт, так как не получила исключительные права на него (судебное дело № А55-20118/2017).

Модель нарушителя

Чтобы иметь представление о том, всё ли вы сделали для защиты программного кода от кражи, целесообразно создать конфиденциальный документ под названием «Модель нарушителя». Доступ к нему можно предоставить собственнику бизнеса и его доверенным лицам. Модель нарушителя включает несколько элементов, показанных на рисунке ниже.

Выявление типов злоумышленников

В краже программного кода может быть заинтересован:

1. Внутренний нарушитель, который осведомлен о положении в компании, мерах по защите информации, владеет или когда-то владел конфиденциальными сведениями.
2. Внешний нарушитель, который по каким-то причинам хочет нарушить нормальное функционирование компании.

При определении рисков кражи программного обеспечения рекомендуется составить таблицу наиболее вероятных нарушителей, отразив их категорию, мотив и возможный ущерб от неправомерных действий:

Уже на этом этапе целесообразно определить юридические меры по противодействию незаконной активности внутреннего и внешнего нарушителя. Это могут быть направление им претензий, жалобы в контролирующие и правоохранительные органы, требования компенсации и возмещения ущерба в суде.

Определение векторов атак

Для ответа на вопрос, как защитить программный код от кражи, целесообразно определить наиболее вероятные способы утечки данных.

Для внутренних нарушителей это могут быть:

• Копирование на личные USB-носители.
• Пересылка по электронной почте на личные почтовые ящики.
• Загрузка в облачные хранилища (Google Drive, Yandex Disk и другие).
• Создание репозиториев на личных аккаунтах в GitHub/GitLab.
• Фотографирование экрана с программным кодом или снятие скриншотов с экрана.
• Удаленное копирование через неконтролируемые каналы доступа (например, RDP – Remote Desktop Protocol, TeamViewer). Такие программы могут маскироваться под системные процессы и использовать нестандартные порты. Кроме того, пользователь может обеспечить доступ к программным разработкам при помощи portable-версий программ удаленного управления, настройки автостарта Windows для выполнения определенных действий.
• Намеренное создание уязвимостей в программном коде для последующего взлома: так называемые «backdoor» (задняя дверь) или «logic bomb» (логическая бомба). К ним относятся: использование слабых паролей по умолчанию, создание скрытых учетных записей, запрос секретных вопросов с простыми ответами для входа при утрате пароля, возможность сброса пароля, использование небезопасных протоколов (http:// вместо https:\\), внедрение вредоносного кода, использование слабых алгоритмов шифрования.

Для внешних нарушителей, хакеров, конкурентов:

• Фишинг (массовые рассылки) и целевые атаки на сотрудников для получения учетных данных. Например, сотрудник может получить уведомление на электронную почту о необходимости подтверждения его данных, для чего нужно перейти по присланной ссылке, директор – о необходимости оплаты по договору поставки со ссылкой на поддельный сайт поставщика и т.п.
• Подбор слабых паролей к системам контроля версий, серверам разработки: попытка угадать или взломать пароль, используя слабые места в политике безопасности или часто встречающиеся пароли («12345678», пароли без специальных символов и т.п.).
• Использование уязвимостей в защите программного обеспечения.
• Атаки на инфраструктуру: незащищенные базы данных, архивы (бэкапы), хранящиеся на сервере.
• Перехват трафика при удаленной работе.

Анализ возможностей нарушителя

На этом этапе целесообразно оценить, какими возможностями обладает вероятный нарушитель.

Для внутреннего нарушителя такими возможностями являются:

• Уровень доступа. Сотрудник компании может получить доступ к программным разработкам легально, в связи с тем, что выполняет определенные трудовые обязанности. Он также может быть осведомлен о системах защиты программного обеспечения, которые используются в организации.
• Квалификация. Сотрудник может обладать средней или высокой квалификацией. Его преимуществами для кражи программной разработки является то, что он знает особенности построения системы безопасности, внутренние процессы, возможные уязвимости. Например, при разграничении прав доступа у различных сотрудников он может получить доступ к закрытым для него данным через компьютер коллеги.
• Инструменты. В его распоряжении стандартное автоматизированное рабочее место. Он может использовать личные устройства для кражи программного кода: средства хранения данных, мобильный телефон и др.

Для внешнего нарушителя:

• Уровень доступа. Внешний нарушитель обычно не имеет легального доступа к ресурсам компании. Это требует преодоления систем защиты и предполагает использование соответствующих методов: подкуп сотрудника компании, использование инструментов удаленного доступа, вредоносного программного обеспечения и т.п.
• Квалификация.  Предполагается высокий уровень технической подготовки вероятного нарушителя, а также знание методов социальной инженерии для манипуляции людьми с целью получения конфиденциальной информации или доступа к системам обработки данных. Среди них: фишинг, тайлгертинг (физическое проникновение вслед за сотрудником), Quid Pro Quo (предложение услуги в обмен на информацию), обратная социальная инженерия (атакующий создает проблему, а потом «помогает» ее решить), байтинг (использование «приманки» для установки вредоносного программного обеспечения), психологическое манипулирование и др.
• Инструменты. С большой степенью вероятности нарушитель будет использовать специализированное хакерское программное обеспечение (сканеры уязвимостей системы, комплексные решения для проведения кибератак (экспойты) и др.), бот-сети (для DDoS-атак), сервисы подбора паролей.

Технические меры противодействия

На этом этапе целесообразно определить виды защиты программного обеспечения для каждого из вероятных способов атаки, а также план реагирования на инцидент.

Важно понимать, что организационно-технические меры (DLP, запрет на использование USB и другие) осложняют кражу, однако не делают ее невозможной. Для минимизации возможного ущерба целесообразно использовать юридические средства: грамотно составленные договоры, NDA и другое.

План реагирования при краже программного обеспечения

Целесообразно составить отдельный документ, который описывает алгоритм реагирования на инцидент:

1. Фиксация инцидента: немедленное сохранение всех логов, следов деятельности.
2. Локализация: блокировка учетных записей, отзыв доступов, изоляция затронутых систем.
3. Оценка ущерба: определение, какой именно код был похищен, его ценность и круг потенциальных виновников.
4. Уведомление: информирование руководства, службы безопасности, при необходимости – правоохранительных органов.
5. Правовые действия: подготовка и направление претензий нарушителю или искового заявления в суд. Ключевым доказательством будет свидетельство о регистрации программы в Роспатенте или депонирование прав на нее.

Технические средства защиты программного обеспечения

После того, как составлена модель нарушителя, целесообразно определиться с техническими средствами защиты программного обеспечения. К ним относятся:

• Программы защиты программного кода. Это специализированное ПО или встроенные функции в операционной системе или приложении. К ним относятся средства идентификации пользователей, системы разграничения доступа, DLP-системы и другие. Недостаток программных решений состоит в том, что, в отличие от аппаратных средств, они могут быть скомпрометированы (украден пароль, ключ получен в результате взлома и т.п.). В этом случае злоумышленник получит доступ к системе.
• Технические (аппаратные) решения. К ним относятся физические устройства и приборы, предназначенные для защиты каналов передачи данных и носителей информации (криптографические модули, средства шифрования данных и другие).

Юридические способы защиты программного обеспечения

При создании программного обеспечения автоматически возникают авторские права. Эти права не требуют обязательной регистрации. Однако, если этого не сделать, то авторство будет трудно доказать.

Для того, чтобы подтвердить права на программное обеспечение, можно провести депонирование программного кода в Роспатенте. Это позволит подтвердить факт его существования на определенную дату. Заявитель получает государственное свидетельство о депонировании. Эта процедура – быстрая и недорогая. Заявителю (правообладателю программного обеспечения) нужно уплатить государственную пошлину в размере 5 000 рублей. Она не зависит от объема депонируемых материалов.

Оформление прав на программное обеспечение позволит:

1. Защитить исключительные права на программное обеспечение: вы можете запретить или разрешить использовать его другим лицам, а также воспользоваться судебной защитой при нарушении ваших прав.
2. Коммерциализировать программное обеспечение, привлечь инвесторов. Государственная регистрация служит своеобразной гарантией прав на ПО.
3. Включить программное обеспечение в реестр отечественного ПО Минцифры, что позволит сэкономить на налогах (до 20%), участвовать в госзакупках, получить льготы и гранты.

Аудит соответствия документов требованиям по защите программного обеспечения

Для предотвращения кражи программного обеспечения целесообразно также провести аудит документов компании по следующему чек-листу:

• Внутренняя документация. Разработка и внедрение политик информационной безопасности, должностных инструкций с пунктами о конфиденциальности, регламентами доступа к программному коду.
• Трудовые договоры с разработчиками: они должны содержать положение о том, что исключительные права на все результаты интеллектуальной деятельности, созданные в рамках трудовых обязанностей, принадлежат работодателю.
• Договоры с подрядчиками (фрилансерами, веб-студиями): должны быть не просто договорами оказания услуг, а договорами авторского заказа или содержать оговорку об отчуждении исключительного права. Устная договоренность не имеет юридической силы: права на код останутся у исполнителя.
• Соглашения о неразглашении (NDA) должны быть заключены со всеми, кто имеет доступ к программному коду.

Судебная практика по защите программного обеспечения

Судами наработана значительная правоприменительная практика, касающаяся незаконного использования программного обеспечения, споров о правах на программное обеспечение, несоблюдении лицензионных договоров на ИТ-разработки.

Так, в 2021 году арбитражный суд г. Санкт-Петербурга рассмотрел дело № А56-53395/2021 по иску индивидуального предпринимателя. Истец утверждал, что его сайт полностью скопировал ответчик и выложил его в сети Интернет под видом своего на другом домене.

Права предпринимателя на сайт подтверждались договорами с разработчиками на создание дизайна и программирование. Кроме того, истец представил техническое доказательство – в заимствованном коде содержалась ссылка на его ресурс.

Суд удовлетворил требования истца и взыскал с ответчика 4,8 млн. рублей.

В другом случае программист разработал программное обеспечение SIAMS 800 во время работы в ООО «СИАМС-Сервис». После увольнения из компании он подал иск к бывшему работодателю и потребовал прекратить использование этого программного обеспечения.

Суд постановил, что исключительные права на разработку принадлежат ООО «СИАМС-Сервис», так как она была создана программистом при исполнении трудовых обязанностей (дело № А60-57733/2018).

Одно из дел касалось расширения лицензиаром полномочий, предоставленных лицензией. Так, компания «Лаборатория Касперского» передала по лицензии ООО «Альфа-Сервис» антивирус для 500 рабочих мест.

ООО «Альфа-Сервис» установил его на 728 рабочих станциях.

В суде нарушение требований лицензионного договора было подтверждено. С ответчика взыскана двукратная стоимость использования 218 лицензий на антивирусное программное обеспечение (дело № А40-124499/2017).

Чек-лист: комплексная защита программного обеспечения

Для того, чтобы обеспечить комплексную защиту программного обеспечения, нужно проверить, реализованы ли компанией организационные, технические, юридические и иные мероприятия, которые обеспечат комплексную защиту программного кода от кражи.

К ним относятся:

Организационные меры:

• Заключены NDA (соглашения о неразглашении) со всеми сотрудниками и подрядчиками.
• В трудовых и подрядных договорах прописано, кому принадлежат права на программное обеспечение.
• Оформлена внутренняя политика по информационной безопасности.
• Регулярно проводится обучение сотрудников по кибер-гигиене.

Технические меры:

• Используются DLP-системы для контроля утечек данных.
• Внедрена многофакторная аутентификация и разграничение прав доступа.
• Применяется обфускация кода и контроль целостности файлов.
• Регулярно обновляются антивирусы и межсетевые экраны.
• Отключены или ограничены USB-порты и облачные сервисы на рабочих станциях.

Юридические меры:

• Проведено депонирование кода в Роспатенте.
• При необходимости — подана заявка на включение в реестр российского ПО Минцифры.
• Оформлены лицензионные договоры или соглашения о передаче исключительных прав.
• Правильно оформлена служебная документация – трудовые договоры, приказы о служебных разработках, служебные задания. Это гарантирует передачу прав на программное обеспечение работодателю.
• Правильно оформлены договоры с подрядчиками.

Реагирование на инциденты:

• Разработан и внедрен план реагирования на инциденты.
• Назначены ответственные лица за информационную безопасность.

Мониторинг и аудит:

• Проводится регулярный аудит безопасности.
• Ведется журнал доступа к исходному коду и репозиториям.