Škody způsobené kybernetickým útokem. Jaká je odpovědnost dodavatele systému za náhradu škody? Vysvětlení příkladu uvedeného ve smlouvě
V posledních letech se počet kybernetických útoků na podniky neustále zvyšuje.
Podle průzkumu provedeného Japonskou asociací pro síťovou bezpečnost (JNSA), která je specifickou neziskovou organizací, byl v roce 2013 podíl neoprávněných přístupů na celkovém počtu případů úniku osobních údajů 4,7%, ale v roce 2018 (gregoriánský kalendář) se tento podíl zvýšil na 20,3% (Zpráva o průzkumu incidentů týkajících se informační bezpečnosti v roce 2018[ja]).
V tomto článku vysvětlíme rozsah odpovědnosti, kterou nese dodavatel systému v případě kybernetického útoku, na základě předchozích soudních rozhodnutí. Dále také na základě modelové smlouvy vysvětlíme role a rozsah odpovědnosti, které by měly být stanoveny v smlouvě, aby dodavatel a uživatel mohli společně přijmout opatření proti kybernetickým útokům.
Nese systémový dodavatel odpovědnost za škody způsobené kybernetickým útokem?
Pokud dojde k poškození v důsledku kybernetického útoku na straně uživatele, první, kdo by měl nést odpovědnost, je pachatel kybernetického útoku. Nicméně, pokud by mohlo dojít k útoku kvůli nedbalosti při vývoji a provozu systému, může být uznána žádost o náhradu škody ze strany uživatele vůči dodavateli systému.
Základem pro žádost o náhradu škody, která je vůči dodavateli systému uplatňována, jsou následující:
- Odpovědnost za nesplnění smlouvy
- Porušení povinnosti řádné péče
Avšak, škoda může být zvětšena vinou uživatele. V takovém případě je uznána také odpovědnost uživatele. Ve skutečných soudních případech byla tato situace zohledněna jako kompenzace za nedbalost a byly případy, kdy byla náhrada škody vůči dodavateli systému omezena.
Související článek: Jaké jsou tři kategorie kybernetické kriminality? Advokát vysvětluje opatření proti škodám pro každý vzorec[ja]
Odpovědnost systémových dodavatelů za škody a příklady uvedení v smlouvách
Jako představitelé IT systémových smluv mezi systémovým dodavatelem a uživatelem, kterým je podnik, existují následující tři příklady:
- Smlouva o vývoji softwaru
- Smlouva o údržbě a provozu systému
- Smlouva o využití cloudových služeb
Odpovědnost za škody je určena původní smlouvou, proto níže vysvětlujeme podle typu smlouvy.
Smlouva o vývoji softwaru
Smlouva o vývoji softwaru je smlouva uzavřená, když společnost na straně uživatele svěří vývoj svého systému softwarovému dodavateli.
Pokud se společnost na straně uživatele stane cílem kybernetického útoku a zranitelnost softwaru se stane příčinou rozšíření škody, může být uznána odpovědnost dodavatele vůči uživateli.
Odpovědnost, kterou nese dodavatel systému, se liší podle typu smlouvy o vývoji softwaru a může být rozdělena do dvou kategorií:
- Smlouva o dílo: Odpovědnost za nesplnění smlouvy
- Podřízená smlouva: Porušení povinnosti řádné péče
Smlouva o dílo
Smlouva o dílo je smlouva, která slibuje dokončení systému a za kterou je odměna placena za výsledný produkt.
Pokud dodaný výsledek “nesplňuje účel smlouvy”, vzniká po určitou dobu po dodání odpovědnost za nesplnění smlouvy (Občanský zákoník §559, §562[ja]) na straně dodavatele.
Jinými slovy, existuje riziko, že pokud výsledek umožní snadné způsobení systémové poruchy kybernetickým útokem, může být považován za “nesplnění účelu smlouvy” a uživatel může požadovat odškodnění za nesplnění smlouvy.
Zda je tento požadavek uznán, závisí na úrovni zabezpečení softwaru, kterou strany předem dohodly.
【Příklad zápisu odpovědnosti za nesplnění smlouvy】
Článek X Po dokončení přezkoumání podle předchozího článku, pokud je zjištěna nesrovnalost (včetně chyb, dále jen “nesplnění smlouvy”) mezi dodaným produktem a specifikací systému, může strana A požadovat od strany B nápravu nebo jiné plnění (dále jen “doplňkové plnění”). Strana B je povinna provést takové doplňkové plnění. Avšak, pokud to nepředstavuje nepřiměřenou zátěž pro stranu A, strana B může provést doplňkové plnění jiným způsobem, než požadovala strana A.
2. Bez ohledu na předchozí odstavec, pokud je možné dosáhnout cíle individuální smlouvy i přes nesplnění smlouvy a pokud by doplňkové plnění vyžadovalo nadměrné náklady, strana B není povinna plnit povinnost doplňkového plnění stanovenou v předchozím odstavci.
3. Pokud strana A utrpí škodu v důsledku nesplnění smlouvy (omezeno na případy způsobené důvody, které lze přičíst straně B), může strana A požadovat odškodnění od strany B.
Citace: Modelová smlouva o informačním systému (druhé vydání)[ja]
Podřízená smlouva
U podřízené smlouvy se neuplatňuje odpovědnost za nesplnění smlouvy, protože není povinností dokončit výsledný produkt. Místo toho je povinností “zpracovat záležitosti svěřené s péčí řádného správce” (povinnost řádné péče).
Pokud kybernetický útok způsobí systémovou poruchu, i když nebyla úroveň zabezpečení stanovena při uzavření smlouvy, může být vývoj systému tohoto druhu považován za “porušení povinnosti řádné péče” (Občanský zákoník §656, §644[ja]) a může být požadováno odškodnění.
【Příklad zápisu povinnosti řádné péče】
Článek X Strana B uzavře individuální smlouvu podle článku X a poskytne služby podporující vytváření specifikací požadavků (dále jen “podpora při vytváření specifikací požadavků”) na základě konceptu informačního systému, plánu systémového zpracování atd., které vytvořila strana A.
2. Strana B, na základě svých odborných znalostí a zkušeností v oblasti informačních technologií, provede podpůrné činnosti, jako je výzkum, analýza, organizace, návrh a poradenství, s péčí řádného správce, aby se práce strany A mohla hladce a správně provádět.
Citace: Modelová smlouva o informačním systému (druhé vydání)[ja]
Smlouva o údržbě a provozu systému
Smlouva o údržbě a provozu systému je dohoda, v rámci které společnost pověřuje dodavatele softwaru úkoly spojené s údržbou a provozem stávajícího softwaru. Při uzavírání smlouvy o údržbě a provozu je běžné, že se do smlouvy začlení úroveň zabezpečení, kterou je třeba splnit, například v technických specifikacích.
Pokud dojde k poškození v důsledku kybernetického útoku a úroveň zabezpečení systému je nižší než úroveň dohodnutá při uzavření smlouvy, může být na základě klauzule o nesplnění smlouvy uplatněna odpovědnost za nesplnění závazků.
Avšak, pokud nebyla předem stanovena úroveň zabezpečení, může být údržba a provoz systému, který je zranitelný vůči kybernetickým útokům, považován za porušení povinnosti řádné péče, což může vést k uplatnění odpovědnosti.
Smlouva o využití cloudových služeb
Smlouva o využití cloudových služeb je dohoda uzavřená při využití služeb, které poskytovatel (vendor) nabízí v cloudu. Jelikož se předpokládá, že poskytovatel nabídne stejné služby velkému počtu uživatelů, často se smlouva uzavírá podle podmínek stanovených poskytovatelem.
Obecně platí, že tato smlouva předem uvádí odpovědnost v případě, že služby nelze poskytnout kvůli kybernetickému útoku.
V smlouvě o využití cloudových služeb se obvykle stanoví následující:
- SLA (Service Level Agreement): záruky kvality a provozní pravidla
- Omezení odpovědnosti: rozsah odpovědnosti poskytovatele v případě vzniku škody
SLA je dokument, který explicitně uvádí požadavky uživatele a provozní pravidla poskytovatele. Pokud není poskytnuta služba stanovená v tomto dokumentu, může se jednat o částečné nesplnění závazků a může být podána žádost o náhradu škody. Navíc, v smlouvě může být stanovena “klauzule o omezení odpovědnosti”, která předem omezuje podmínky, za kterých může poskytovatel čelit nárokům na nesplnění závazků, a omezuje výši náhrady škody, i když je odpovědnost uznána.
Avšak klauzule o omezení odpovědnosti často obsahují ustanovení výhodné pro poskytovatele, a pokud dojde k sporu, mohou být omezeny na základě japonských právních precedentů.
【Příklad ustanovení o omezení odpovědnosti】
Článek X: Strany A a B mohou požadovat náhradu škody od druhé strany, pokud utrpí škodu způsobenou důvodem, který lze přičíst druhé straně, v souvislosti s plněním této smlouvy a jednotlivých smluv (omezeno na škodu XXX). Avšak tento nárok nelze uplatnit po uplynutí X měsíců od data přijetí dodávky nebo potvrzení ukončení práce podle dané jednotlivé smlouvy.
2. Celková částka náhrady škody v souvislosti s plněním této smlouvy a jednotlivých smluv je omezena na částku XXX stanovenou v jednotlivé smlouvě, která byla příčinou důvodu odpovědnosti, bez ohledu na důvod nároku, včetně nesplnění závazků (včetně odpovědnosti za nesoulad smlouvy), neoprávněného obohacení, protiprávního jednání atd.
3. Předchozí ustanovení se nevztahuje na případy, kdy je odpovědnost za náhradu škody založena na úmyslu nebo hrubé nedbalosti dlužníka.
Citace: Informační systém – Modelová obchodní smlouva (druhé vydání)[ja]
Kritéria pro posouzení rozsahu odpovědnosti za škody na straně systémového dodavatele
Když dojde k poškození uživatelské firmy v důsledku kybernetického útoku, v jakých konkrétních případech může být zpochybněna odpovědnost dodavatele, který systém vyvinul?
Níže vysvětlíme na základě příkladů soudních sporů, kdy byla zpochybněna odpovědnost na straně dodavatele systému.
Byla provedena opatření v souladu s technickou úrovní v době vývoje?
V případě skutečných soudních sporů se klade důraz na to, zda dodavatel systému provedl bezpečnostní opatření na úrovni odpovídající pokynům a manuálům veřejných úřadů a průmyslových organizací v době vývoje.
Existují příklady soudních rozhodnutí, které nařídily dodavateli systému náhradu škody za škody způsobené kybernetickým útokem, jak je uvedeno níže.
【Příklad soudního rozhodnutí】Tokyo District Court, 23.1. Heisei 26 (2014)
Uživatel: Společnost X, která se zabývá maloobchodem a prodejem interiérových materiálů
Dodavatel: Společnost Y, která převzala návrh a údržbu webového objednávkového systému
Případ úniku 7 000 záznamů o kreditních kartách zákazníků v důsledku kybernetického útoku
■Rozsudek
Nařízení k náhradě škody ve výši cca 20 milionů jenů na straně dodavatele systému
Byla uznána částka přesahující cca 2 miliony jenů vývojových nákladů
Byla uznána nedbalost na straně společnosti X, 30% nedbalostní kompenzace
■Důvod
・Dodavatel systému zanedbal povinnost provést bezpečnostní opatření v souladu s tehdejší technickou úrovní.
・Byla uznána nedbalost na straně uživatelské firmy, která zanedbala opatření, přestože obdržela vysvětlení rizika od dodavatele systému, a byla provedena 30% nedbalostní kompenzace.
V roce 2014 byl “SQL Injection Attack” hlavním prostředkem kybernetických útoků a Ministerstvo hospodářství, obchodu a průmyslu zveřejnilo dokument nazvaný “Upozornění na zavedení bezpečnostních opatření pro osobní data na základě zákona o ochraně osobních údajů[ja]“, který poukazoval na kybernetické riziko a vyzýval k posílení systému.
Rozsudek uznal odpovědnost dodavatele systému, který neprovedl opatření, a nařídil náhradu škody, zatímco uznal, že uživatelská firma také nese odpovědnost, a uznal 30% nedbalostní kompenzaci.
Je na straně uživatelské firmy nějaká chyba?
Firmy na straně uživatelů, které zadávají vývoj systémů, také mají své povinnosti a pokud je nějaká chyba, mohou nést plnou odpovědnost.
Níže je příklad soudního rozhodnutí, které plně uznalo odpovědnost firmy na straně uživatele a nařídilo náhradu škody, ačkoli to není příklad kybernetického útoku.
【Příklad soudního rozhodnutí】Asahikawa District Court, 31.8. Heisei 29 (2017)
Uživatel: Univerzitní nemocnice
Dodavatel: Systémová společnost, která byla požádána o vývoj elektronického zdravotnického záznamu univerzitní nemocnicí
Hned po zahájení projektu se objevily další požadavky od lékařů na místě.
Požadavky nepřestávaly a vývoj se zpozdil, nemocnice zrušila smlouvu kvůli zpoždění.
■Rozsudek (odvolací soud)
Nařízení k náhradě škody ve výši cca 1,4 miliardy jenů na straně univerzitní nemocnice
Zrušení prvostupňového rozsudku, který nařídil náhradu škody oběma stranám
■Důvod
・Byl zpochybněn problém, že nemocnice nevěnovala pozornost varování dodavatele, že pokud vyhoví dalším požadavkům, nebude schopna dodržet termín.
Tento soudní spor vyplynul z toho, že uživatelská strana oznámila zrušení smlouvy kvůli zpoždění vývoje systému, a obě strany se vzájemně žalovaly o náhradu škody.
Rozsudek uznal, že příčinou zpoždění vývoje bylo to, že uživatelská strana nevěnovala pozornost varování dodavatele systému, uznal 100% odpovědnost na straně uživatele a zamítl požadavek uživatele. Na straně dodavatele je “povinnost řízení projektu”, která zajišťuje, že projekt postupuje tak, aby byl dodán včas. Na straně uživatele je také “povinnost spolupráce”, a pokud je tato povinnost zanedbána, může nést plnou odpovědnost. Ve skutečných soudních případech se odpovědnost za náhradu škody určuje podle tohoto poměru.
Tři klíčové body pro bezpečný vývoj systémů
Pro přípravu na kybernetická rizika je důležité, aby se uživatelé a dodavatelé společně podíleli na opatřeních.
Níže vysvětlujeme opatření, která mohou dodavatelé a uživatelé podniknout z jejich vlastních pozic.
Pochopení kybernetických rizik, na které upozorňují vládní agentury a další
Dodavatelé systémů by měli zkontrolovat pokyny od odborných institucí, jako je Ministerstvo hospodářství, obchodu a průmyslu (Japanese Ministry of Economy, Trade and Industry) nebo Nezávislá správní instituce pro podporu zpracování informací (Japanese Information-technology Promotion Agency – IPA), pochopit současná kybernetická rizika a jejich řešení a pak se podle toho řídit při vývoji a provozu.
Nejen dodavatelé, ale i uživatelské firmy by měly mít alespoň základní porozumění těmto pokynům, požadovat vývoj a provoz v souladu s nimi a do smlouvy zahrnout klauzule o úrovni zabezpečení.
Reference: Ministerstvo hospodářství, obchodu a průmyslu|Kybernetické bezpečnostní pokyny pro podnikání Ver 2.0
Reference: Nezávislá správní instituce pro podporu zpracování informací|Jak vytvořit bezpečný web[ja]
Obzvláště v oblasti financí a podobných oborech mohou být zákony a pokyny vyžadovat vysokou úroveň zabezpečení. Bezpečnostní opatření týkající se kryptoměn jsou podrobně vysvětleny níže.
Související článek: Jaká jsou bezpečnostní opatření pro kryptoměny? Vysvětlení s třemi případy úniků[ja]
Obě strany rozumí potřebě zabezpečení
V “Kybernetických bezpečnostních pokynech pro podnikání Ver2.0” Ministerstva hospodářství, obchodu a průmyslu je jasně uvedeno, že “kybernetická bezpečnost je otázka podnikání”.
Místo toho, aby firmy přenechaly zabezpečení dodavatelům, protože o něm nic nevědí, by měly považovat řízení těchto rizik za součást svého podnikání a měly by se zodpovědně podílet na opatřeních.
Obě strany společně čelí kybernetickým útokům
Při kybernetickém útoku by měli zadavatel a dodavatel spolupracovat na minimalizaci škod, místo aby si vzájemně přehazovali odpovědnost.
Avšak, v systémovém vývoji se často stává, že pozice zadavatele je silnější a vývoj systému se zaměřuje na náklady a termíny. Dodavatelé nemusí mít dostatek času ani peněz a jejich návrhy na zabezpečení nemusí být přijaty.
Avšak, pokyny uvádějí, že firmy na straně uživatelů by měly považovat provádění bezpečnostních opatření ne za “náklady”, ale za nezbytné pro budoucí podnikání a růst a měly by je považovat za “investice”.
V systémovém vývoji je důležité, aby dodavatelé a uživatelé společně a na rovnocenném základě čelili kybernetickým útokům.
Shrnutí: Konzultujte tvorbu smlouvy o vývoji systému s právníkem
V případě, že dojde k poškození v důsledku kybernetického útoku, může být výrobce zapojený do vývoje systému obviněn z nedbalosti v kybernetickém rizikovém řízení a může být zodpovědný vůči uživatelské firmě.
Avšak, i uživatelská firma, která zanedbala svou povinnost spolupracovat s výrobcem, nese zodpovědnost.
Aby se minimalizovaly škody z kybernetických útoků, je třeba stanovit v smlouvě úroveň systému a rozsah odpovědnosti každé strany.
Při tvorbě smlouvy o vývoji systému se poraďte s právníkem, který má pokročilé odborné znalosti a je schopen pochopit obsah pokynů a současné kybernetické riziko.
Představení opatření naší kanceláře
Právnická kancelář Monolith je právnická kancelář s vysokou odborností v oblasti IT, zejména internetu a práva. Při uzavírání smlouvy o vývoji systému je nutné vytvořit smlouvu. Naše kancelář provádí tvorbu a revizi smluv pro různé případy, od společností kótovaných na Tokyo Stock Exchange až po startupy. Pokud máte potíže se smlouvou, prosím, podívejte se na následující článek.
Obory, které pokrývá právnická kancelář Monolith: Právní služby související s vývojem systémů[ja]
Category: IT
Tag: CybercrimeIT