Ответственность за утечку исходного кода: как защитить бизнес?

⏱ Время чтения: 6 минут

В первом полугодии 2024 года утечки исходного кода стали одной из главных проблем для IT-сектора — отрасль вошла в топ-3 по числу инцидентов. Они происходили как по вине инсайдеров, так и в результате кибератак. При утечке исходного кода части внутренней разработки программного обеспечения (код, конфигурации, API-ключи, алгоритмы) становятся общедоступными или попадают в чужие руки — это нарушение конфиденциальности и защищенности проекта. 

Потеря уникальных разработок и алгоритмов чревата утратой конкурентных преимуществ. В зависимости от обстоятельств, такие инциденты могут привести к судебным спорам, взысканиям и штрафам. А если будет установлено, что утечка произошла в результате умышленных действий, физическое лицо может быть привлечено к уголовной ответственности — вплоть до лишения свободы на срок до 6 лет по статье 146 УК РФ.

Например, в 2023 году в открытый доступ попал архив с фрагментами внутреннего исходного кода ключевых сервисов Яндекса (Алиса, Такси, Директ, Метрики и другие). Хотя код был устаревшим и не использовался в рабочей версии сервисов, компании все равно нанесен серьезный репутационный урон, после которого пришлось усилить меры безопасности и поднять вопрос приоритетов политики информационной безопасности организации. 

Хотя в судебной практике появляются споры о защите исходного кода, многие IT-компании до сих пор не имеют документально оформленной системы правовой защиты своих цифровых активов, что рискованно для организаций. В этой статье разберем, почему происходят утечки, какие существуют меры защиты и какая ответственность предусмотрена за нарушения.

Чтобы  не пропустить новые материалы от MDS, подписывайтесь на наш Телеграм-канал. 

Почему утечка исходного кода опасна для бизнеса?

Финансовые потери и правовые риски

Копирование исходного кода конкурентами приводит к потере уникальных технологических преимуществ. Суды взыскивают ущерб (статья 1301 ГК РФ), но восстановить конкурентные позиции на рынке оказывается значительно сложнее.

Российские суды при определении размера ущерба от утечки исходного кода учитывают:

• стоимость разработки программного обеспечения (включая затраты на R&D);
• коммерческую ценность технического решения на рынке;
• размер упущенной выгоды от незаконного использования;
• период времени, в течение которого происходило нарушение;
• масштаб распространения нарушающих продуктов.

Для подтверждения размера ущерба суды назначают экспертизу, которую могут проводить специализированные оценочные компании или эксперты в области IT.

Репутационные последствия

Утечка исходного кода подрывает доверие клиентов и инвесторов к способности компании защищать конфиденциальную информацию. Особенно критично это для стартапов, где репутация технологической экспертизы напрямую влияет на инвестиционную привлекательность.

Угрозы информационной безопасности

Когда исходный код попадает в публичный доступ, злоумышленники получают возможность изучить архитектуру системы и найти уязвимости. Это создает долгосрочные риски для безопасности не только самой компании, но и ее клиентов.

Причины утечки исходного кода

Внутренние угрозы

Увольняющиеся сотрудники — основной источник утечек. Ведущие разработчики могут скопировать исходный код на личные устройства перед уходом с места работы. 

К внутренним рискам также относится халатность персонала — оставленные открытыми репозитории, слабые пароли, передача учетных данных третьим лицам. Нередко разработчики загружают код в публичные хранилища вроде GitHub, не осознавая правовых последствий таких действий.

Работник несет материальную ответственность за ущерб от разглашения конфиденциальной информации (статья 243 ТК РФ), и разглашение коммерческой тайны является основанием для увольнения работника (статья 81 ТК РФ).

Внешние угрозы

Хакерские атаки на серверы и системы контроля версий становятся все более изощренными. Российские IT-компании регулярно сталкиваются с атаками, в результате которых злоумышленники получают доступ к корпоративным репозиториям и публикуют части исходного кода.

Уязвимости в системах разработки — небезопасные настройки Git, отсутствие двухфакторной аутентификации или использование устаревших версий систем контроля версий. Такие случаи предусматривает уголовную ответственность по статье 272 УК РФ за неправомерный доступ к компьютерной информации.

Юридическая ответственность за утечку

Гражданско-правовая ответственность

Если исходный код используется без разрешения правообладателя, это может повлечь гражданско-правовую ответственность по нормам Гражданского кодекса РФ (статьи 1250, 1252, 1253 и 1301 ГК РФ).

Правообладатель может потребовать в суде:

• прекратить нарушение прав;
• взыскать убытки или компенсацию (даже без точного расчета ущерба). Компенсация за нарушение исключительных прав на программу для ЭВМ может составить от 10 тысяч до 5 миллионов рублей. Правообладатель может выбрать между возмещением убытков и выплатой компенсации;
• опубликовать решение суда с указанием настоящего автора.

Чтобы выиграть дело, истцу нужно доказать, что он владелец исключительных прав, а ответчик использовал код без разрешения. Ответчик, в свою очередь, должен подтвердить, что он действовал законно.

Обычно в таких делах проводится экспертиза, чтобы определить, насколько код нарушителя совпадает с оригиналом, производен ли он от него и были ли заимствования. В исключительных случаях (например, при систематических нарушениях) возможно потребовать ликвидацию компании-нарушителя, но такие меры применяются крайне редко и только по инициативе прокурора.

В случае, если ущерб был возмещен компанией (например, текущим работодателем разработчика), она может взыскать понесенные расходы с виновного работника в порядке регресса (статья 1081 ГК РФ), но чаще всего лишь в пределах его месячного заработка (оклада) (статья 241 ТК РФ).

Административная ответственность

Если в исходном коде обрабатываются персональные данные пользователей, нарушение требований их защиты влечет административные меры. Они применяются не за сам факт утечки, а за нарушения, которые к ней привели (разглашение тайны, плохая защита информации, нарушение закона о персональных данных и т.д).

• Если исходный код отнесен к коммерческой тайне (что должно быть документально оформлено), то за его разглашение предусмотрена ответственность по статья 13.14 КоАП РФ: незаконное разглашение информации с ограниченным доступом — штраф от 5 до 10 тысяч рублей для граждан, от 100 до 200 тысяч рублей для юрлиц. 

• Если в исходном коде содержатся фрагменты, связанные с обработкой персональных данных, то при их утечке может применяться статья 13.11 КоАП РФ — до 300 тысяч рублей штрафа для юрлиц (и до 500 тысяч рублей при повторном нарушении).
• Если компания — оператор по защите информации, и нарушение повлекло утечку данных, Роскомнадзор может привлечь к ответственности за невыполнение условий лицензии (например, по ФЗ-152, ФЗ-149).

Уголовная ответственность

• В случаях, когда исходный код был защищен как коммерческая или государственная тайна, виновное лицо может быть привлечено по статье 183 или 283 УК РФ — за разглашение или незаконное использование охраняемой тайны. 
• Если код был похищен путем взлома, возможно применение статьи 272 УК РФ (неправомерный доступ к компьютерной информации) с наказанием до 4 лет лишения свободы при причинении крупного ущерба.
• При нарушении авторских прав применяется статья 146 УК РФ. Такие действия могут повлечь и полную материальную ответственность, если они признаны преступлением, причинившим ущерб. Если ущерб в крупном размере — штраф до 200 тысяч рублей или лишение свободы до 2 лет; в особо крупном размере — наказание до 6 лет лишения свободы со штрафом до 500 тысяч рублей.

Как защитить исходный код?

Технические меры защиты

1. Шифрование репозиториев и баз данных (хранилищ) должно соответствовать требованиям российских стандартов информационной безопасности. Компании, работающие с критически важной информацией, обязаны использовать сертифицированные криптографические средства.
2. Системы контроля доступа (DLP) позволяют отслеживать попытки копирования исходного кода на внешние носители. Внедрение таких систем соответствует требованиям 98-ФЗ «‎О коммерческой тайне» о принятии необходимых мер для охраны конфиденциальности информации.
3. Двухфакторная аутентификация для доступа к системам разработки значительно снижает риски компрометации учетных записей и является обязательной мерой защиты в современных IT-компаниях.
4. Шифрование кода, когда сам код программы превращается в зашифрованную форму, которую невозможно использовать без специального электронного ключа. Это сильно усложняет несанкционированный доступ и изменение кода.
5. Обфускация — специальное усложнение кода. Переменные получают случайные имена, логика размывается. Такой подход не дает полноценной защиты, но усложняет и замедляет работу. Обычно используется в сочетании с шифрованием.
6. Интеграция безопасности в процесс разработки (DevSecOps, SSDLC). Так защита программного обеспечения учитывается с самого начала: от постановки требований и проектирования до написания кода, тестирования и выпуска. Этот подход позволяет выявить и устранить уязвимости еще до релиза продукта.

Организационные меры

1. Соглашения о неразглашении (NDA) для всех сотрудников должны содержать четкие определения конфиденциальной информации, сроки действия обязательств и размер ответственности за нарушение. 
2. Процедуры увольнения должны включать блокировку всех доступов, возврат корпоративных устройств и подтверждение удаления рабочих файлов с личных устройств в день подачи заявления.
3. Обучение персонала — регулярные тренинги помогают команде разбираться в вопросе, понимать риски, вовремя замечать подозрительное поведение.

Юридическая защита

1. Оформление режима коммерческой тайны требует выполнения обязательных условий согласно ч.1 ст. 10 98-ФЗ:

• Определение перечня сведений, составляющих коммерческую тайну.
• Ограничение доступа путем установления порядка обращения с информацией.
• Ведение учета лиц, получивших доступ к коммерческой тайне.
• Регулирование отношений по использованию информации.
• Нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна‎» с указанием обладателя такой информации.

2. Регистрация программы в Роспатенте укрепляет доказательную базу при защите авторских прав. Регистрация проводится в установленном порядке и создает официальные доказательства авторства.

Что делать при утечке?

1. Подайте заявление в правоохранительные органы:

• Обратитесь в отдел МВД или Центр «К».
• Приложите доказательства: переписку, логи, технические материалы, договоры.

2. Подтвердите авторство и права. Подготовьте доказательства того, что код создан вашей компанией:

• договоры с разработчиками,
• история разработки в системах контроля версий,
• зафиксированные даты создания, коммиты, переписка,
• регистрация ПО в Роспатенте (если есть).

3. Усильте меры безопасности:

• Проведите аудит IT-безопасности.
• Внедрите двухфакторную аутентификацию, ротацию ключей, систему логирования.
• Обновите политику безопасности, проведите обучение сотрудников.

Первые 24 часа 

• Зафиксируйте все доказательства утечки, сделайте скриншоты размещения кода в публичных источниках, зафиксируйте дату и время обнаружения утечки. 
• Скачайте логи доступа к репозиториям, внутренним системам, серверу. Заблокируйте доступы подозреваемых лиц. 
• Привлеките IT-службу для создания полного образа скомпрометированных систем.
• Смените пароли, API-ключи, SSH-ключи.
• Проверьте права доступа сотрудников и внешних подрядчиков.

Первая неделя 

• Проведите внутреннее расследование с привлечением специалистов по цифровой криминалистике. 
• Выявите, была утечка из-за внутреннего сотрудника, подрядчика или взлома извне. 
• Оцените размер ущерба для правильной квалификации деяния по УК РФ и подготовьте документы для обращения.
• Подайте заявление в правоохранительные органы, приложив доказательства, что код создан вашей компанией:

1. договоры с разработчиками;
2. история разработки в системах контроля версий;
3. зафиксированные даты создания, коммиты, переписка;
4. регистрация ПО в Роспатенте (если есть).

• Требуйте удаления кода с внешних ресурсов. Направьте запрос на удаление в администрацию сайта или платформу. При необходимости подайте жалобу по DMCA (например, GitHub). 
• Оцените масштаб и риски: Что именно утекло (весь продукт, модуль, прототип)? Может ли быть нанесен ущерб бизнесу, клиентам, конкурентоспособности? Нужно ли переписывать код или изменить архитектуру?
• Если информация об утечке стала публичной — подготовьте официальную позицию. Сообщите клиентам, что вы контролируете ситуацию и принимаете меры защиты.

Долгосрочные действия

Внедрите дополнительные меры безопасности для предотвращения повторных инцидентов.

Утечки исходного кода, передача данных конкурентам, незакрытые доступы после увольнения —  это не только технические сбои, но и юридическая зона ответственности.

Курс «Юрист в сфере IT» готовит специалистов, которые умеют предотвращать такие риски. На программе вы научитесь:

• защищать интеллектуальные права на ПО и цифровые сервисы;
• сопровождать IT-бизнесы на всех этапах IT-продукта;
• выстраивать грамотные отношения с разработчиками и подрядчиками;
• ориентироваться в технической стороне вопроса даже без IT-образования.

Отдельный блок курса посвящен технической защите конфиденциальной информации. Вы узнаете, как обеспечить информационную безопасность при сертификации компании и как юридически защитить данные при аутсорсинге и передаче кода.

Даже без технического образования вы станете востребованным экспертом, так как освоите язык технологий и научитесь разговаривать с бизнесом и разработкой на одном языке.