Kahju küberrünnaku tõttu. Mis on süsteemi müüja kahju hüvitamise vastutus? Lepingudokumendi näidete selgitus
Viimastel aastatel on ettevõtete vastu suunatud küberrünnakud pidevalt kasvanud.
Vastavalt Jaapani Võrguturbe Assotsiatsiooni (JNSA) uuringule, moodustasid ebaseaduslikud juurdepääsud 2013. aastal kõigist isikuandmete lekete juhtumitest 4,7%, kuid 2018. aastaks (Gregoriuse kalendri järgi) oli see suurenenud 20,3%-ni (2018. aasta infoturbe intsidentide uuringu aruanne[ja]).
Selles artiklis selgitame süsteemimüüjate vastutuse ulatust küberrünnaku korral, tuginedes varasematele kohtupraktikatele. Samuti selgitame, millised rollid ja vastutusalad peaksid lepingus olema määratletud, et müüjad ja kasutajad saaksid ühiselt küberrünnakute vastu võidelda, tuginedes mudellepingule.
Kas süsteemimüüja vastutab küberrünnaku kahjude eest?
Kui ettevõte kasutajapoolel kannatab küberrünnaku tõttu kahju, on esimene, kelle vastu vastutust nõutakse, küberrünnaku toimepanija. Kuid, kui süsteemi arendamise ja käitamise hooletuse tõttu on rünnaku toimepanemine muutunud lihtsamaks, võib kasutajapoolelt süsteemimüüjale esitatud kahjude hüvitamise nõue olla põhjendatud.
Süsteemimüüja vastu esitatud kahjude hüvitamise nõude aluseks võivad olla järgmised põhjused:
- Lepinguvastane vastutus
- Hoolsuskohustuse rikkumine
Kuid, kasutajapoole hooletuse tõttu võib kahju suureneda. Sellisel juhul võib kasutajapoole vastutus olla põhjendatud. Tegelikes kohtuasjades on arvesse võetud hooletuse kompenseerimist ja süsteemimüüja vastu esitatud kahjude hüvitamise nõue on piiratud.
Seotud artikkel: Mis on küberrünnaku kolm liigitust? Advokaat selgitab iga mustri kahjude ennetamist[ja]
Süsteemimüüja kahju hüvitamise vastutus ja lepingu sõnastuse näited
Süsteemimüüja ja kasutaja ehk ettevõtte vahelise IT-süsteemi lepingu tüüpilised näited hõlmavad järgmisi kolme:
- Tarkvaraarendusleping
- Süsteemi hooldus- ja kasutusleping
- Pilveteenuse kasutusleping
Kahju hüvitamise vastutus määratakse algse lepingu alusel, seega selgitame allpool lepingutüüpide kaupa.
Tarkvaraarenduse leping
Tarkvaraarenduse leping on leping, mis sõlmitakse siis, kui kasutaja ettevõte delegeerib oma süsteemi arendustööd tarkvarapakkujale.
Kui kasutaja ettevõte saab küberrünnaku ohvriks ja tarkvara haavatavus põhjustab kahju suurenemist, võib kasutajalt pakkujale vastutuse nõudmine olla õigustatud.
Süsteemi pakkuja poolt kantav vastutus jaguneb kaheks, sõltuvalt tarkvaraarenduse lepingu tüübist:
- Tellimisleping: lepingu mittetäitmise vastutus
- Pooldelegeerimisleping: hea halduse kohustuse rikkumine
Tellimisleping
Tellimisleping on leping, milles lubatakse süsteemi valmimist ja selle tulemuse eest makstakse tasu.
Kui üleantud tulemus “ei vasta lepingu eesmärgile”, tekib teatud aja jooksul pärast üleandmist tellijal lepingu mittetäitmise vastutus (Tsiviilseadustiku artiklid 559 ja 562[ja]).
See tähendab, et kui küberrünnak põhjustab süsteemi tõrke liiga kergesti, võib kasutaja nõuda lepingu mittetäitmise vastutuse alusel kahjutasu, kuna tulemus “ei vasta lepingu eesmärgile”.
Kas see nõue on õigustatud, sõltub tarkvara turvalisuse tasemest, mille pooled olid eelnevalt kokku leppinud.
【Lepingulise mittetäitmise vastutuse näide】
Artikkel X. Pärast eelmises artiklis toodud ülevaatuse lõppu, kui avastatakse, et tarnitud toode ei vasta süsteemi spetsifikatsioonidele (sealhulgas vead, mida nimetatakse edaspidi “lepingu mittetäitmiseks”), võib A nõuda B-lt lepingu mittetäitmise parandamist või muud täitmist (edaspidi “täiendamine”). B peab sellise täiendamise läbi viima. Siiski, kui see ei põhjusta A-le ebamõistlikku koormust, võib B teostada täiendamist erineval viisil kui A poolt nõutud.
2. Sõltumata eelmisest lõigust, kui lepingu mittetäitmise tõttu on võimalik saavutada individuaalse lepingu eesmärk ja täiendamine nõuab liigset kulu, ei pea B täitma eelmises lõigus sätestatud täiendamise kohustust.
3. Kui A kannatab kahju lepingu mittetäitmise tõttu (piiratud juhtudel, kui see on tingitud B süüst), võib A nõuda B-lt kahjutasu.
Viide: Informaatikasüsteemi mudeltehingute lepingudokument (teine väljaanne)[ja]
Pooldelegeerimisleping
Pooldelegeerimislepingule ei kohaldata lepingu mittetäitmise vastutust, kuna see ei nõua tulemuse valmimist. Selle asemel on neil kohustus “täita delegeeritud ülesandeid hea halduse põhimõtteid järgides” (hea halduse kohustus).
Kui küberrünnak põhjustab süsteemi tõrke, võib isegi kui turvalisuse taset ei ole lepingu sõlmimisel määratud, süsteemi sellisel tasemel arendamine olla “hea halduse kohustuse rikkumine” (Tsiviilseadustiku artiklid 656 ja 644[ja]) ja võib kaasa tuua kahjutasu nõude.
【Hea halduse kohustuse näide】
Artikkel X. B sõlmib artikli X alusel individuaalse lepingu ja pakub teenust, mis toetab A poolt koostatud infosüsteemi kontseptsioonidokumendi, süsteemi planeerimisdokumendi jne alusel A poolt koostatud nõuete määratluse dokumendi koostamist (edaspidi “nõuete määratluse koostamise toetus”).
2. B viib läbi uurimis-, analüüsi-, korraldus-, ettepaneku- ja nõustamisteenuseid, et A tööd saaksid sujuvalt ja asjakohaselt läbi viia, tuginedes infotöötlustehnoloogia erialastele teadmistele ja kogemustele ning järgides hea halduse põhimõtteid.
Viide: Informaatikasüsteemi mudeltehingute lepingudokument (teine väljaanne)[ja]
Süsteemi hooldus- ja kasutusleping
Süsteemi hooldus- ja kasutusleping on leping, mille raames ettevõte delegeerib olemasoleva tarkvara hoolduse ja kasutamise ülesanded tarkvarapakkujale. Hooldus- ja kasutuslepingu sõlmimisel on tavaline, et lepingusse lisatakse äritegevuse spetsifikatsioonidokumentides sätestatud turvanõuded.
Kui küber-rünnaku tagajärjel tekib kahju ja süsteemi turvatase on lepingus kokkulepitud tasemest madalam, võidakse tugineda lepingu mittetäitmise sätetele ja nõuda kohustuste mittetäitmise eest vastutust.
Kuid kui turvatasemeid pole ette nähtud, võidakse süsteemi hooldamist ja kasutamist, mis on küber-rünnakute suhtes haavatav, pidada hea halduse põhimõtete rikkumiseks ja vastutust võidakse nõuda.
Pilveteenuste kasutamise leping
Pilveteenuste kasutamise leping on leping, mille sõlmitakse teenusepakkuja ehk müüjaga, kui kasutatakse pilvepõhist teenust. Kuna eeldatakse, et teenusepakkuja pakub sama teenust paljudele kasutajatele, sõlmitakse leping tavaliselt teenusepakkuja poolt kehtestatud kasutustingimuste alusel.
Üldiselt on selles lepingus eelnevalt määratletud vastutus, kui teenust ei saa küberrünnaku tõttu pakkuda.
Pilveteenuste kasutamise lepingus määratakse tavaliselt lepingu sõlmimisel järgmised punktid:
- SLA (Service Level Agreement): kvaliteedi tagamine ja halduseeskirjad
- Vastutuse piiramise klausel: teenusepakkuja vastutus kahju tekkimisel
SLA on kasutaja nõudmiste taseme ja teenusepakkuja halduseeskirjade kirjalik vormistamine. Kui te ei saa siin määratletud teenust, võite nõuda osalist kahjutasu. Lisaks võib lepingus olla “vastutuse piiramise klausel”, mis piirab eelnevalt teenusepakkuja vastutuse tingimused ja piirab kahjutasu summa, isegi kui vastutus on tunnustatud.
Siiski, kuna vastutuse piiramise klauslid on sageli teenusepakkuja jaoks soodsad, võivad need olla piiratud Jaapani kohtupraktika alusel, kui tekib vaidlus.
【Vastutuse piiramise klausli näide】
Artikkel X. Kui A ja B kannatavad kahju seoses selle lepingu ja eraldi lepingu täitmisega, mis tuleneb teise poole süüst, võivad nad nõuda teiselt poolelt kahjutasu (piiratud XXX kahjuga). Siiski ei saa seda nõuet esitada pärast seda, kui on möödunud X kuud alates kahjutasu nõude põhjuseks oleva eraldi lepingu alusel tarnitud toote vastuvõtmise kuupäevast või töö lõpetamise kuupäevast.
2. Selle lepingu ja eraldi lepingu täitmisega seotud kahjutasu kogusumma on sõltumata nõude põhjusest, sealhulgas võlgade täitmata jätmisest (sealhulgas lepingu mittetäitmise vastutus), ebaõiglasest kasust, õigusvastasest tegevusest või muust, piiratud eraldi lepingu alusel määratud XXX summa.
3. Eelmine lõige ei kehti juhul, kui kahjutasu kohustus tuleneb tahtlikust tegevusest või tõsise hooletusest.
Viide: Informaatikasüsteemi mudeltehingute leping (teine väljaanne)[ja]
Süsteemimüüja kahju hüvitamise vastutuse ulatuse hindamise kriteeriumid
Kui kasutajatele tekib kahju küberrünnaku tagajärjel, millistel konkreetsetel juhtudel võib süsteemi arendanud müüja vastutust küsida?
Allpool selgitame seda, tuginedes kohtuasjadele, kus süsteemimüüja vastutust on vaidlustatud.
Kas rakendati meetmeid, mis vastasid arendamise ajal kehtinud tehnilisele tasemele?
Kui kohtus vaidlustatakse vastutus, siis rõhutatakse, kas süsteemimüüja rakendas turvameetmeid, mis vastasid arendamise ajal valitsusasutuste või tööstusorganisatsioonide poolt välja antud juhenditele ja manuaalidele.
On olemas kohtuasju, kus süsteemimüüjale on määratud kahjutasu küberrünnaku tõttu tekkinud kahju eest.
【Kohtuasi】Tokyo District Court, 23. jaanuar 2014 (Heisei 26)
Kasutaja: X ettevõte, mis tegeleb sisekujundusmaterjalide jaemüügi ja postimüügiga
Müüja: Y ettevõte, kes oli võtnud endale veebipõhise tellimissüsteemi kujundamise ja hooldamise
Küberrünnaku tõttu lekkis 7000 kliendi krediitkaardi andmed
■Otsus
Süsteemimüüjale määrati umbes 20 miljoni jeeni suurune kahjutasu
Tunnistati, et arendustasu ületas umbes 2 miljonit jeeni
X ettevõttele tunnistati hooletus, 30% hooletuse kompensatsioon
■Põhjus
・Süsteemimüüja ei rakendanud turvameetmeid, mis vastasid tolleaegsele tehnilisele tasemele.
・Kasutajafirma, kes oli saanud süsteemimüüjalt riski selgituse, kuid ei rakendanud meetmeid, tunnistati hooletuks ja määrati 30% hooletuse kompensatsioon.
2014. aastal oli küberrünnakute peamine vahend “SQL-injection attack” ja Majandus-, Kaubandus- ja Tööstusministeerium avaldas dokumendi “Tähelepanu juhtimine isikuandmete turvalisuse tagamise meetmetele isikuandmete kaitse seaduse alusel[ja]“, milles juhiti tähelepanu küberriskidele ja kutsuti üles süsteemi tugevdama.
Kohtuotsus tunnistas süsteemimüüja vastutuse, kes ei rakendanud meetmeid, ja määras kahjutasu, samas tunnistas kasutajafirma hooletuse ja määras 30% hooletuse kompensatsiooni.
Kas kasutajafirmal on süü?
Süsteemi arendamise tellival kasutajafirmal on ka oma kohustused ja kui on süü, võib ta kanda kogu vastutuse.
Allpool on kohtuasi, mis ei ole küberrünnaku juhtum, kuid tunnistas täielikult kasutajafirma vastutust ja määras kahjutasu.
【Kohtuasi】Asahikawa District Court, 31. august 2017 (Heisei 29)
Kasutaja: Ülikooli haigla
Müüja: Süsteemifirma, kellele ülikooli haigla oli tellinud elektroonilise meditsiinilise kaardi süsteemi arendamise
Projekti algusest peale esitasid kohapealsed arstid järjest lisasoove.
Soovid ei lõppenud ja arendus viibis, haigla tühistas lepingu viivituse tõttu.
■Otsus (apellatsioonikohus)
Haiglale määrati umbes 1,4 miljardi jeeni suurune kahjutasu
Esimese astme kohtu otsus, mis määras mõlemale poolele kahjutasu, tühistati
■Põhjus
・Probleemiks peeti seda, et haigla ei võtnud kuulda müüja hoiatust, et kui nad vastavad lisasoovidele, ei jõua nad tähtajaks valmis.
See kohtuasi algas sellest, et kasutajafirma tühistas lepingu süsteemi arendamise viivituse tõttu ja nii kasutajafirma kui ka müüja nõudsid teineteiselt kahjutasu.
Kohtuotsuses tunnistati, et arendusviivituse põhjuseks oli see, et kasutajafirma ei võtnud kuulda süsteemimüüja hoiatust, tunnistati kasutajafirma 100% vastutuseks ja lükkas tagasi kasutajafirma nõude. Müüjafirmal on kohustus hallata projekti edenemist nii, et see valmiks tähtajaks, see on “projekti haldamise kohustus”. Kasutajafirmal on aga “koostöökohustus” ja kui ta seda ei täida, võib ta kanda kogu vastutuse. Tegelikus kohtupraktikas määratakse kahjutasu vastutus selle protsendi alusel.
Kolm punkti turvalise süsteemiarenduse jaoks
Küberohtude vastu võitlemiseks on oluline, et nii kasutajad kui ka tarnijad teeksid koostööd.
Allpool selgitame, milliseid meetmeid saavad tarnijad ja kasutajad võtta oma positsioonilt.
Mõistke küberohte, mida ametiasutused on välja toonud
Süsteemitarnijad peaksid tutvuma majandus- ja tööstusministeeriumi ning Jaapani Infotöötluse Edendamise Agentuuri (IPA) ja teiste spetsialiseerunud asutuste poolt välja antud juhenditega, mõistma praeguseid küberohte ja nende vastu võitlemise viise ning seejärel arendama ja haldama süsteeme.
Lisaks peaksid mitte ainult tarnijad, vaid ka kasutajate ettevõtted mõistma juhendite sisu ja nõudma juhendite järgi arendamist ja haldamist ning lisama lepingusse turvalisuse taset käsitlevad klauslid.
Viide: Majandus- ja tööstusministeerium|Küberjulgeoleku juhtimise juhend Ver 2.0
Viide: Infotöötluse Edendamise Agentuur|Kuidas luua turvalist veebisaiti[ja]
Eriti finantssektoris võib seaduste ja juhendite kohaselt nõuda kõrgetasemelist turvalisust. Krüptovara turvalisuse kohta leiate üksikasjalikuma selgituse allpool.
Seotud artikkel: Mis on krüptovara (virtuaalraha) turvalisusmeetmed? Selgitus koos kolme lekkejuhtumiga[ja]
Mõlemad pooled mõistavad turvalisuse vajadust
Majandus- ja tööstusministeeriumi “Küberjulgeoleku juhtimise juhend Ver2.0” selgitab selgelt, et küberjulgeoleku meetmed on juhtimisküsimus.
Ettevõtted peaksid turvalisuse küsimustes mitte ainult tarnijatele lootma, vaid ka riskijuhtimist juhtimise osana nägema ja vastutustundlikult meetmeid võtma.
Mõlemad pooled tegelevad koos küberohtudega
Kui küberoht tekib, peaksid tellija ja tarnija mitte vastutust üksteisele veeretama, vaid koostööd tegema, et kahju minimeerida.
Kuid süsteemiarenduse tellijate ja tarnijate vahel on tellija positsioon sageli tugevam ja süsteemiarendus keskendub sageli kuludele ja tähtaegadele. Tarnijatel ei pruugi olla piisavalt raha ega aega ning isegi kui nad teevad ettepanekuid turvalisuse kohta, ei pruugi neid aktsepteerida.
Kuid juhendites on märgitud, et kasutajate ettevõtted peaksid turvalisuse meetmeid nägema mitte “kuluna”, vaid tulevase äritegevuse ja kasvu jaoks hädavajaliku “investeeringuna”.
Süsteemiarenduses on oluline, et tarnijad ja kasutajad teeksid võrdsetel alustel koostööd küberohtudega tegelemisel.
Kokkuvõte: süsteemiarenduse lepingu koostamisel konsulteerige advokaadiga
Kui küberrünnaku tagajärjel tekib kahju, võib süsteemiarendusega tegelevat tarnijat süüdistada küberriskide vastu võitlemise hooletusse jätmises ning kasutajafirma võib nõuda vastutust.
Kuid ka kasutajafirmal, kes on hooletusse jätnud koostöökohustuse tarnija suhtes, on vastutus.
Küberrünnaku kahju minimeerimiseks on vaja lepingus määrata süsteemi tase ja igaühe vastutusalad.
Süsteemiarenduse ja muude lepingute koostamisel konsulteerige advokaadiga, kellel on põhjalikud teadmised juhiste sisust ja praegustest küberriskidest.
Meie büroo poolt pakutavad meetmed
Monolith õigusbüroo on IT- ja eriti internetiõiguse valdkonnas kõrge spetsialiseerumisega õigusbüroo. Süsteemiarenduse lepingu sõlmimisel on vajalik lepingu koostamine. Meie büroos koostame ja vaatame üle lepingud erinevate juhtumite jaoks, alates Tokyo börsil noteeritud ettevõtetest kuni idufirmadeni. Kui teil on lepinguga probleeme, vaadake palun allpool toodud artiklit.
Monolith õigusbüroo tegevusvaldkonnad: Süsteemiarendusega seotud õigusnõustamine[ja]
Category: IT
Tag: CybercrimeIT