Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 3 данного свода знаний описываются основные регуляторные нормы и принципы международного права, которые имеют отношение к кибербезопасности и могут применяться при оценке киберрисков, управлении ИБ, расследовании киберинцидентов. Сегодня – седьмая часть обзора Главы 3 CyBOK, в которой описываются международные подходы к защите прав интеллектуальной собственности (авторское право, патент, товарный знак, секрет производства) и ответственность за их нарушение.
Руслан Рахметов, Security Vision
Предыдущие главы и части:
Глава 3 часть 1, часть 2, часть 3, часть 4, часть5, часть 6
3.8. Интеллектуальная собственность
3.8.1. Понимание прав интеллектуальной собственности
Права интеллектуальной собственности (Intellectual Property, сокр. IP) считаются «негативными правами» - они означают право не допускать выполнение другими лицами запрещенных действий, указанных в законе. При этом права интеллектуальной собственности не означают возможность правообладателя выполнять абсолютно любые действия - например, некоторые действия могут нарушать права интеллектуальной собственности третьих лиц или нормы конкуренции. Зарегистрированные права интеллектуальной собственности (например, патенты, торговые марки) предоставляются после регистрации и проверки в государственных структурах, а незарегистрированные права интеллектуальной собственности (например, авторское право) возникают, как правило, без участия государственных органов. Термин «public domain» (общественное достояние) может использоваться в сфере кибербезопасности в двух значениях: например, если некий конфиденциальный документ был опубликован в открытых источниках («в паблике»), то, несмотря на потерю им свойства конфиденциальности, информация всё ещё может быть защищена правами интеллектуальной собственности - до тех пор, пока от них явным образом не отказался автор, например, путем применения лицензии типа «общественное достояние» (public domain), не предусматривающей оформление и защиту авторских прав.
3.8.2. Перечень типов прав интеллектуальной собственности
Существует множество различных видов интеллектуальных прав, но в данном разделе рассматриваются только те, с которыми специалисты по ИБ могут столкнуться с большей вероятностью. Надо также учитывать, что в обиходе словосочетание «интеллектуальная собственность» используется для обозначения любых результатов интеллектуального труда, работы или процессов, при этом юридически права интеллектуальной собственности могут быть не оформлены должным образом.
3.8.2.1. Авторское право
Авторское право (copyright, копирайт) - незарегистрированное право, возникающее при создании некоторой оригинальной работы, например, кода программы. Объектом защиты авторского права является не сама идея, а её воплощение в виде конкретной работы - например, защищается исходный код, а не функционал программы (функциональность защищается патентным правом). Авторское право защищает работу автора на протяжении всей его жизни плюс 70 лет после его смерти, после чего произведение становится общественным достоянием. Нарушением авторского права считается копирование, передача, отображение, перевод значительной части оригинальной работы, что может быть доказано путём анализа сходства документов/исходного кода, в том числе с использованием технологий форензики. Защита объектов авторского права была расширена для борьбы с нарушителями копирайта, которые препятствуют работе и обходят ограничения технических средств защиты авторских прав (DRM-систем, Digital Rights Management). При этом ответственности за нарушение копирайта можно избежать, воспользовавшись различными ограничениями и исключениями (например, доказательством добросовестного использования, честного ведения дел и т.д.), которые отличаются в разных странах.
3.8.2.2. Патенты
Патент - это право интеллектуальной собственности, зарегистрированное государственным органом после проведения соответствующих процедур обработки заявки и проверки результата интеллектуальной деятельности - работы, изобретения, полезной модели, промышленного образца (т.е. объекта патентных прав). Патенты защищают новые значимые, нетривиальные и применимые в промышленном производстве изобретения, включающие в себя изобретательский уровень - придуманный изобретателем нестандартный подход к решению определенной технической задачи. Изобретения в области ИБ, например, алгоритмы или криптографические методы, могут быть запатентованы как часть программной или аппаратной реализации - например, на реализацию стандарта DES и алгоритма RSA в США действовали патенты (истекли соответственно в 1993 и 2000 годах).
Получение и поддержание патента связано с двумя аспектами: государственная проверка и регистрация изобретения, а также внесение регулярных патентных платежей и международная поддержка патента требуют финансовых затрат, а после получения патента требуется опубликовать описание работы изобретения и техническую документацию, что теоретически позволит другим скопировать разработку. Срок действия патента исчисляется с даты подачи заявки и составляет в России 20 лет для изобретений, 10 лет для полезных моделей, 5 лет для промышленных образцов (согласно ст. 1363 ГК РФ). Процедуры проверки заявки на патент могут длиться несколько месяцев, а исключительное право возникает только после государственной регистрации, однако затем правообладатель может потребовать у третьих лиц компенсацию за использование разработки в период между подачей заявки и выдачей патента (согласно ст. 1392 ГК РФ). Нарушением патента будет производство, распространение, импорт, экспорт товаров или услуг, содержащих запатентованное изобретение. При этом сбор доказательств может включать в себя форензик-анализ, однако во многих случаях нарушения происходят неосознанно по причине наличия множества патентов в сфере ИТ/ИБ.
3.8.2.3. Товарные знаки
Товарный знак (торговая марка, trademark) - это право интеллектуальной собственности, зарегистрированное государственным органом после проведения соответствующих процедур обработки заявки. Товарный знак - это символ или знак, использующийся для визуального различия между продуктами и услугами разных производителей в целях защиты репутации бренда. В России товарный знак регистрируется в виде свидетельства, выданного Роспатентом, и действует 10 лет с возможностью продления. Классы товаров и услуг систематизированы в международной классификации товаров и услуг (МКТУ), при этом в разных сферах деятельности могут существовать одинаковые товарные знаки - например, один и тот же товарный знак может использоваться в строительстве и разработке ПО разными компаниями. Нарушением товарного знака считается демонстрация логотипа, тождественного или сходного до степени смешения с защищенным товарным знаком, что может ввести потребителей в заблуждение. Кроме того, нарушением товарного знака может считаться использование конкурентами доменного имени, сходного с доменом оригинального бренда, поэтому владельцы торговой марки зачастую регистрируют на себя сразу ряд доменов, сходных по написанию с оригиналом. Еще одним типом товарного знака является отметка о сертификации, которая подтверждает соответствие корпоративных процессов различным стандартам - например, сертификат ISO 9001 для системы менеджмента качества, сертификат ISO 14001 для системы экологического менеджмента, сертификат ISO 27001 для системы управления ИБ. Коллективный знак - еще один тип товарного знака, который могут использовать все члены определенного объединения (профессиональной ассоциации, отраслевого союза), производящие или реализующие определенные товары (согласно ст. 1510 ГК РФ).
3.8.2.4. Секрет производства
Секреты производства (ноу-хау, trade secrets) традиционно защищались нормами гражданского права, предоставлявшими владельцам ноу-хау возможность юридической защиты от тех, кто несанкционированно получает, использует, разглашает секреты производства. Так, в США в 1996 году был принят закон о защите от экономического шпионажа (Economic Espionage Act) для предотвращения кражи секретов производства, который в 2016 году был дополнен законом о защите секретов производства (Defend Trade Secrets Act). В ЕС действует Директива 2016/943 по защите секретов производства и бизнес-информации (коммерческой тайны) от их неправомерного получения, использования и разглашения, которая вступила в силу в 2018 году. Объектом защиты законодательства о секрете производства является конфиденциальная информация, имеющая ценность в силу неизвестности её третьим лицам, для защиты которой владелец предпринимает разумные меры. Защищаться могут такие сведения, как список клиентов, способ производства, детали работы изобретения до подачи и публикации патента, алгоритмы работы поисковой системы, проприетарные криптографические алгоритмы. В России понятие секрета производства (ноу-хау) определяется в ст. 1465 ГК РФ, а защита обеспечивается в том числе путём установления режима коммерческой тайны в соответствии с Федеральным Законом «О коммерческой тайне» от 29.07.2004 г. №98-ФЗ. Таким образом, сведения, составляющие коммерческую тайну, в том числе секреты производства (ноу-хау), защищаются путем введения режима коммерческой тайны в организации. При этом сведения, составляющие коммерческую тайну - это более широкое понятие по сравнению с секретами производства (ноу-хау): режим коммерческой тайны может быть введён в отношении любых сведений, обрабатывающихся в компании (с учётом исключений, приведенных в ст.5 98-ФЗ).
Главным элементом защиты секрета производства является обеспечение его конфиденциальности, а защита действует до тех пор, пока конфиденциальность не нарушена. Основной угрозой секретам производства является промышленный кибершпионаж, а нарушение конфиденциальности (например, публикация третьими лицами) патентуемого изобретения до подачи заявления о патенте проводит к невозможности запатентовать изобретение и может нанести автору существенный ущерб. Владельцы юридически верно оформленных секретов производства могут защищать свои интересы в правовом поле от посягательств третьих лиц, в том числе незаконно получивших охраняемые ноу-хау от нарушителей мер защиты.
3.8.3. Средства правоприменения
Защита интеллектуальной собственности обеспечивается средствами правоприменения, доступными участникам судебного процесса.
3.8.3.1. Уголовная ответственность
В определенных обстоятельствах нарушение прав интеллектуальной собственности (например, товарных знаков и авторского права) может повлечь за собой привлечение нарушителя к уголовной ответственности - особенно если будет доказано, что нарушитель осознавал незаконность своих действий и допускал нарушения регулярно и массово. Например, в США нарушители защиты авторских прав, преследующие коммерческие цели или получение финансовой выгоды, могут получить максимальное наказание в виде 5 лет лишения свободы за первое нарушение и 10 лет за повторное. Британское законодательство содержит норму об уголовном наказании на срок до 2 лет за производство, импорт, распространение устройств для обхода мер защиты интеллектуальной собственности. Однако, не во всех странах действуют нормы о защите секретов производства и законы о противодействии промышленному кибершпионажу.
3.8.3.2. Гражданская ответственность
Владелец прав, как правило, может подать иск о защите своих интересов против нарушителя прав интеллектуальной собственности. Юридические меры могут включать денежную компенсацию пострадавшему владельцу прав интеллектуальной собственности, которая рассчитывается на основе справедливой (разумной) ставки роялти (англ. reasonable royalty), установленного государственного тарифа или требования возмещения в размере полученной нарушителем прибыли от незаконного использования интеллектуальной собственности. Кроме того, на продукты, нарушающие права интеллектуальной собственности, может быть наложен запрет использования, а также возможно уничтожение предметов, нарушающих товарные знаки и авторские права.
Гражданско-правовым средством защиты прав интеллектуальной собственности является судебное постановление о запрете противоправных действий третьего лица. В случае нарушения патентного законодательства или неправомерного использования секретов производства, компания-нарушитель сталкивается с запретом на ведение деятельности, связанной с производством или продажей продукции, нарушающей патент или ноу-хау. Судебное постановление может включать требования об отключении онлайн-сервисов и удалении контента с веб-сайтов, нарушающих авторские права или товарные знаки.
3.8.4. Реверс-инжиниринг
Реверс-инжиниринг в контексте защиты интеллектуальной собственности означает процесс извлечения ноу-хау или знаний из продукта. Данная практика традиционно считалась юридически приемлемой и рассматривалась как научное исследование законно продаваемых и покупаемых продуктов, в противовес хищению секретов производства путем промышленного кибершпионажа, подкупа и т.д. Однако, если в результате реверс-инжиниринга будут получены и опубликованы секреты производства, они перестанут быть конфиденциальными, потеряют статус ноу-хау и соответствующую правовую защиту. С развитием технологий появились новые регуляторные нормы, запрещающие взлом или обход защитных мер - например, лицензии на ПО могут включать запреты на реверс-инжиниринг, декомпиляцию, дизассемблирование. Однако, законы ЕС прямо запрещают наложение ограничений на анализ и изучение программ их законными пользователями.
3.8.4.1. Обход технических мер защиты объектов авторского права
Развитие законодательства о защите авторских прав привело к появлению технических мер, обход которых считается правонарушением, за исключением ряда случаев (например, научные исследования технологии при соблюдении определенных требований). В зависимости от конкретной страны, ответственность за обход технических мер защиты объектов авторского права может отличаться - например, в некоторых странах незаконным считается не сам факт обхода защитных мер, а распространение соответствующей информации о способах обхода, которая может нанести ущерб правообладателю.
3.8.4.2. Тестирование проприетарного криптографического алгоритма
Для тестирования криптографической системы требуется доступ к реализованному криптоалгоритму, однако исследователи могут столкнуться со сложностями при изучении проприетарного криптоалгоритма, являющегося секретом производства и не раскрываемого производителем даже в целях тестирования. Авторы CyBOK приводят в качестве примера судебное разбирательство компании Volkswagen против исследователей ИБ, которые провели реверс-инжиниринг автомобильного иммобилайзера с помощью программатора - в результате, суд разрешил публикацию отчета исследователей с небольшой редактурой чувствительных абзацев. Можно отметить, что в соответствии с принципом Керкгоффса, стойкость криптографической системы должна определяться только секретностью ключа, а не секретностью алгоритма - поэтому криптосистемы, делающие ставку на неизвестность алгоритма третьим лицам, включая исследователей ИБ, потенциально могут быть уязвимы.
3.8.5. Международное регулирование и правовые коллизии
Если возникновение прав интеллектуальной собственности и закрепление владельца производится в одной стране, то защита этих прав действует и в других странах в соответствии с Бернской конвенцией об охране литературных и художественных произведений, принятой в первой редакции ещё в 1886 году и ратифицированной Россией в 1995 году. Нарушения прав интеллектуальной собственности рассматриваются по месту совершения в соответствии с местными законами. Однако, правовые коллизии могут возникать, когда идентичные или сходные до степени смешения товарные знаки регистрируются в разных странах разными лицам, которые юридически считаются законными владельцами в соответствии с законодательством каждой из стран. Именно поэтому международные компании регистрируют свои товарные знаки в каждой стране присутствия и продлевают сроки действия своих фирменных наименований для защиты от возможного копирования со стороны третьих лиц. При этом в соответствии со ст. 1486 ГК РФ, правовая охрана товарного знака может быть прекращена, если правообладатель не использует товарный знак на протяжении трёх лет.
3.9. Интернет-посредники: защита от ответственности и процедуры удаления контента
В 1990-х годах появились законодательные нормы, которые защищали посредников (интернет-провайдеров, провайдеров хостинга) от ответственности за противоправный контент, размещенный их пользователями. Например, в ЕС действует Директива 2000/31/EC (Electronic Commerce Directive) для защиты сервис-провайдеров от ответственности за действия клиентов, а в США интернет-посредники защищены от ответственности в соответствии с Законом об ограничении ответственности за нарушение авторского права в интернете (Online Copyright Infringement Liability Limitation Act, OCILLA), который был принят в 1998 году как часть Закона об авторском праве в цифровую эпоху (Digital Millennium Copyright Act, DMCA). Несмотря на указанные исключения, сервис-провайдеры должны фильтровать трафик по требованию суда, а также несут ответственность, если осознанно разрешают своим пользователям размещать нелегальный контент на своих ресурсах. Кроме того, провайдеры должны реагировать на уведомления правообладателей об удалении (take-down notice) с требованиями удалить контент, нарушающий авторские права. Кроме того, могут применяться средства разделегирования домена (domain takedown): хостинг-провайдеры и доменные регистраторы должны реагировать на сообщения о том, что сайт является фишинговым, распространяет ВПО или нарушает авторские права, поэтому сайт и доменное имя должны быть заблокированы или удалены. Среди киберпреступников пользуются популярностью «абузоустойчивые» (abuse-resistant или bulletproof) хостинги, которые не реагируют на подобные запросы и жалобы. Кроме того, в последнее время всё чаще владельцы интернет-сервисов (соцсетей и мессенджеров) получают штрафы от различных государств за неудаление незаконного в той или иной стране контента или за отсутствие модерации, т.е. принцип защиты от ответственности постепенно размывается.
