Kerugian Akibat Serangan Siber. Apakah Tanggung Jawab Ganti Rugi Vendor Sistem? Penjelasan Contoh Isi Kontrak
Dalam beberapa tahun terakhir, serangan siber terhadap perusahaan terus meningkat.
Menurut survei oleh Asosiasi Keamanan Jaringan Jepang (Japanese Network Security Association – JNSA), proporsi akses ilegal dalam kasus kebocoran informasi pribadi adalah 4,7% pada tahun 2013, tetapi telah meningkat menjadi 20,3% pada tahun 2018 (2018 (Tahun Gregorian 2018) Laporan Survei Insiden Keamanan Informasi 2018[ja]).
Dalam artikel ini, kami akan menjelaskan ruang lingkup tanggung jawab yang harus ditanggung oleh vendor sistem ketika menerima serangan siber, berdasarkan preseden hukum sebelumnya. Selain itu, kami juga akan menjelaskan tentang peran dan ruang lingkup tanggung jawab yang harus ditentukan dalam kontrak untuk memastikan bahwa vendor dan pengguna bekerja sama dalam menghadapi serangan siber, berdasarkan kontrak model.
Apakah Vendor Sistem Bertanggung Jawab atas Ganti Rugi Akibat Serangan Siber?
Jika perusahaan pengguna mengalami kerugian akibat serangan siber, pelaku serangan siber adalah yang pertama kali bertanggung jawab. Namun, jika ada kemungkinan serangan tersebut terjadi karena kelalaian dalam pengembangan dan operasional sistem, klaim ganti rugi dari pengguna kepada vendor sistem dapat diterima.
Dasar klaim ganti rugi yang dituntut kepada vendor sistem antara lain:
- Tanggung jawab atas ketidaksesuaian kontrak
- Pelanggaran kewajiban pengawasan yang baik
Namun, mungkin juga kerugian bertambah besar karena kelalaian dari pihak pengguna. Dalam hal ini, tanggung jawab pengguna juga dapat diakui. Dalam kasus hukum sebenarnya, hal ini dipertimbangkan sebagai kompensasi kesalahan, dan ganti rugi terhadap vendor sistem dapat dibatasi.
Artikel terkait: Apa itu 3 Klasifikasi Kejahatan Siber? Pengacara Menjelaskan Langkah-langkah Pencegahan untuk Setiap Pola[ja]
Tanggung Jawab Ganti Rugi Vendor Sistem dan Contoh Penulisan dalam Kontrak
Contoh utama kontrak sistem IT antara vendor sistem dan perusahaan pengguna adalah sebagai berikut:
- Kontrak Pengembangan Perangkat Lunak
- Kontrak Pemeliharaan dan Operasional Sistem
- Kontrak Penggunaan Layanan Cloud
Tanggung jawab ganti rugi ditentukan berdasarkan kontrak awal, oleh karena itu, penjelasan akan diberikan untuk setiap jenis kontrak di bawah ini.
Kontrak Pengembangan Perangkat Lunak
Kontrak pengembangan perangkat lunak adalah kontrak yang dibuat ketika perusahaan pengguna menugaskan pengembangan sistem perusahaan mereka kepada vendor perangkat lunak.
Jika perusahaan pengguna mengalami serangan siber dan kerentanan perangkat lunak menjadi penyebab penyebaran kerusakan, perusahaan pengguna dapat menuntut tanggung jawab kepada vendor.
Ada dua jenis tanggung jawab yang harus ditanggung oleh vendor sistem, tergantung pada jenis kontrak pengembangan perangkat lunak:
- Kontrak pekerjaan: Tanggung jawab atas ketidaksesuaian kontrak
- Kontrak kuasa: Pelanggaran kewajiban pengelolaan yang baik
Kontrak Pekerjaan
Kontrak pekerjaan adalah kontrak di mana penyelesaian sistem dijanjikan dan pembayaran dibuat untuk hasilnya.
Jika hasil yang diserahkan “tidak sesuai dengan tujuan kontrak”, dalam jangka waktu tertentu setelah penyerahan, kontraktor memiliki tanggung jawab atas ketidaksesuaian kontrak (Pasal 559 dan 562 dari Hukum Sipil Jepang[ja]).
Dengan kata lain, ada kemungkinan bahwa pengguna dapat menuntut ganti rugi karena tanggung jawab atas ketidaksesuaian kontrak jika hasilnya adalah sistem yang mudah mengalami gangguan akibat serangan siber.
Apakah klaim ini akan diterima atau tidak tergantung pada tingkat keamanan perangkat lunak yang telah ditentukan antara pihak-pihak sebelumnya.
【Contoh Tanggung Jawab atas Ketidaksesuaian Kontrak】
Pasal X: Setelah penyelesaian pemeriksaan sebagaimana dimaksud dalam pasal sebelumnya, jika ditemukan ketidaksesuaian (termasuk bug) antara hasil yang diserahkan dan spesifikasi sistem (selanjutnya disebut “ketidaksesuaian kontrak”), pihak A dapat meminta pihak B untuk melengkapi pelaksanaan perbaikan ketidaksesuaian kontrak tersebut (selanjutnya disebut “pelengkapan”). Pihak B harus melakukan pelengkapan tersebut. Namun, jika tidak memberatkan pihak A secara tidak wajar, pihak B dapat melakukan pelengkapan dengan cara yang berbeda dari yang diminta oleh pihak A.
2. Meskipun demikian, jika tujuan kontrak individu dapat dicapai meskipun ada ketidaksesuaian kontrak dan pelengkapan memerlukan biaya yang berlebihan, pihak B tidak perlu memenuhi kewajiban pelengkapan sebagaimana ditentukan dalam ayat sebelumnya.
3. Jika pihak A menderita kerugian akibat ketidaksesuaian kontrak (hanya yang disebabkan oleh alasan yang dapat diatribusikan kepada pihak B), pihak A dapat menuntut ganti rugi kepada pihak B.
Sumber: Sistem Informasi – Model Transaksi – Kontrak (Edisi Kedua)[ja]
Kontrak Kuasa
Kontrak kuasa tidak berlaku untuk tanggung jawab atas ketidaksesuaian kontrak karena tidak ada kewajiban untuk menyelesaikan hasil. Sebagai gantinya, mereka memiliki “kewajiban untuk mengelola urusan kuasa dengan perhatian seorang manajer yang baik” (kewajiban pengelolaan yang baik).
Jika serangan siber menyebabkan gangguan sistem, bahkan jika tingkat keamanan tidak ditentukan pada saat kontrak, pengembangan sistem dengan tingkat tersebut dapat dianggap sebagai “pelanggaran kewajiban pengelolaan yang baik” (Pasal 656 dan 644 dari Hukum Sipil Jepang[ja]), dan ada kemungkinan untuk menerima tuntutan ganti rugi.
【Contoh Kewajiban Pengelolaan yang Baik】
Pasal X: Pihak B, setelah membuat kontrak individu sebagaimana ditentukan dalam Pasal X, akan memberikan layanan untuk mendukung pembuatan dokumen definisi persyaratan oleh pihak A berdasarkan konsep sistem informasi, rencana sistematisasi, dll. yang dibuat oleh pihak A (selanjutnya disebut “pekerjaan pendukung pembuatan definisi persyaratan”).
2. Pihak B, berdasarkan pengetahuan dan pengalaman profesional dalam teknologi pengolahan informasi, akan melakukan pekerjaan pendukung seperti penelitian, analisis, pengaturan, proposal, dan saran dengan perhatian seorang manajer yang baik untuk memastikan bahwa pekerjaan pihak A berjalan lancar dan tepat.
Sumber: Sistem Informasi – Model Transaksi – Kontrak (Edisi Kedua)[ja]
Kontrak Pemeliharaan & Operasional Sistem
Kontrak Pemeliharaan & Operasional Sistem adalah kontrak di mana perusahaan mendelegasikan tugas-tugas terkait pemeliharaan dan operasional perangkat lunak yang ada kepada vendor perangkat lunak. Saat menandatangani kontrak pemeliharaan dan operasional, umumnya perusahaan akan mencantumkan standar keamanan yang harus dipenuhi dalam dokumen seperti spesifikasi kerja dalam kontrak.
Jika kerugian terjadi akibat serangan siber, dan tingkat keamanan sistem lebih rendah dari yang disepakati saat penandatanganan kontrak, maka vendor dapat dituntut atas dasar ketidaksesuaian kontrak dan bertanggung jawab atas pelanggaran kewajiban.
Namun, jika standar keamanan tidak ditentukan sebelumnya, pemeliharaan dan operasi sistem yang rentan terhadap serangan siber dapat dianggap melanggar kewajiban pengelolaan yang baik, dan tanggung jawab dapat dituntut.
Kontrak Penggunaan Layanan Cloud
Kontrak Penggunaan Layanan Cloud adalah kontrak yang disepakati saat menggunakan layanan yang disediakan oleh vendor di cloud. Karena vendor diharapkan menyediakan layanan yang sama kepada banyak pengguna, biasanya kontrak ini disepakati sesuai dengan syarat dan ketentuan yang ditetapkan oleh vendor.
Umumnya, dalam kontrak ini, tanggung jawab jika layanan tidak dapat disediakan akibat serangan siber telah ditentukan sebelumnya.
Dalam Kontrak Penggunaan Layanan Cloud, biasanya ditentukan pada saat kontrak tentang hal-hal berikut:
- SLA (Service Level Agreement): Jaminan dan aturan operasional tentang kualitas
- Klausul Pembatasan Tanggung Jawab: Ruang lingkup tanggung jawab vendor saat terjadi kerugian
SLA adalah penjelasan tertulis tentang tingkat permintaan pengguna dan aturan operasional pihak penyedia. Jika layanan yang ditentukan di sini tidak dapat diterima, Anda dapat mengajukan klaim ganti rugi karena sebagian pelanggaran kewajiban. Selain itu, dalam kontrak, vendor dapat menentukan syarat-syarat tertentu untuk menerima klaim pelanggaran kewajiban dan membatasi jumlah ganti rugi bahkan jika tanggung jawab diakui, dengan menetapkan “Klausul Pembatasan Tanggung Jawab”.
Namun, karena Klausul Pembatasan Tanggung Jawab sering menguntungkan pihak vendor, jika terjadi perselisihan, mungkin ada batasan berdasarkan hukum preseden Jepang.
【Contoh Penulisan Klausul Pembatasan Tanggung Jawab】
Pasal X: Jika A dan B menderita kerugian karena alasan yang dapat diatribusikan kepada pihak lain dalam pelaksanaan kontrak ini dan kontrak individu, mereka dapat mengajukan klaim ganti rugi kepada pihak lain (hanya untuk kerugian XXX). Namun, klaim ini tidak dapat diajukan setelah berlalunya X bulan sejak tanggal penerimaan barang yang ditentukan dalam kontrak individu yang menjadi penyebab klaim ganti rugi atau tanggal konfirmasi penyelesaian pekerjaan.
2. Jumlah total kumulatif ganti rugi terkait pelaksanaan kontrak ini dan kontrak individu, terlepas dari alasan klaim, termasuk pelanggaran kewajiban (termasuk tanggung jawab ketidaksesuaian kontrak), keuntungan yang tidak adil, tindakan ilegal, dll., dibatasi oleh jumlah XXX yang ditentukan dalam kontrak individu yang menjadi penyebab alasan tanggung jawab.
3. Pasal sebelumnya tidak berlaku jika berdasarkan kesengajaan atau kelalaian serius dari pihak yang bertanggung jawab atas ganti rugi.
Sumber: Sistem Informasi – Model Transaksi – Kontrak (Edisi Kedua)[ja]
Kriteria Penentuan Ruang Lingkup Tanggung Jawab Ganti Rugi dari Pihak Vendor Sistem
Ketika kerugian terjadi pada perusahaan pengguna akibat serangan siber, dalam situasi apa tanggung jawab pihak vendor yang mengembangkan sistem dapat dipertanyakan?
Berikut ini, kami akan menjelaskan berdasarkan contoh kasus nyata di mana tanggung jawab pihak vendor sistem dipertanyakan.
Apakah telah Melakukan Tindakan Sesuai dengan Standar Teknologi pada Saat Pengembangan?
Dalam kasus hukum yang sebenarnya, sangat penting apakah pihak vendor sistem telah melaksanakan tindakan keamanan sesuai dengan standar yang ditetapkan oleh badan pemerintah dan organisasi industri pada saat pengembangan.
Ada beberapa contoh kasus hukum di mana pihak vendor sistem diperintahkan untuk membayar ganti rugi akibat kerugian yang disebabkan oleh serangan siber, seperti berikut ini.
【Contoh Kasus】Putusan Pengadilan Distrik Tokyo, 23 Januari 2014 (Heisei 26)
Pengguna: Perusahaan X yang menjual dan melakukan penjualan melalui komunikasi bahan interior
Vendor: Perusahaan Y yang menerima penugasan untuk merancang dan merawat sistem pemesanan web
Insiden di mana informasi kartu kredit 7.000 pelanggan bocor akibat serangan siber
■Putusan
Perintah ganti rugi sekitar 20 juta yen kepada pihak vendor sistem
Jumlah yang diakui melebihi sekitar 2 juta yen dari biaya pengembangan
Kesalahan juga diakui pada perusahaan X, dengan pemotongan kesalahan 30%
■Alasan
・Pihak vendor sistem telah mengabaikan kewajiban untuk melaksanakan tindakan keamanan sesuai dengan standar teknologi pada saat itu.
・Meskipun perusahaan pengguna telah menerima penjelasan tentang risiko dari pihak vendor sistem, mereka mengabaikan tindakan tersebut, dan karena ada kesalahan pada mereka, pemotongan kesalahan sebesar 30% diberikan.
Pada tahun 2014, “serangan injeksi SQL” adalah metode utama serangan siber, dan Kementerian Ekonomi, Perdagangan dan Industri juga telah mempublikasikan dokumen berjudul “Peringatan tentang Penerapan Pengamanan Data Pribadi Berdasarkan Undang-Undang Perlindungan Data Pribadi (Japanese Personal Information Protection Law)[ja]“, menunjukkan risiko siber dan meminta peningkatan sistem.
Putusan tersebut mengakui tanggung jawab pihak vendor sistem yang tidak mengambil tindakan dan memerintahkan pembayaran ganti rugi, sementara juga mengakui bahwa ada kesalahan pada perusahaan pengguna dan memberikan pemotongan kesalahan sebesar 30%.
Apakah Ada Kesalahan pada Perusahaan Pengguna?
Perusahaan pengguna yang memesan pengembangan sistem juga memiliki kewajiban, dan jika ada kesalahan, mereka mungkin harus bertanggung jawab sepenuhnya.
Berikut ini adalah contoh kasus di mana tanggung jawab perusahaan pengguna diakui sepenuhnya dan diperintahkan untuk membayar ganti rugi, meskipun bukan contoh serangan siber.
【Contoh Kasus】Putusan Pengadilan Distrik Asahikawa, 31 Agustus 2017 (Heisei 29)
Pengguna: Rumah Sakit Universitas
Vendor: Perusahaan sistem yang diminta oleh rumah sakit universitas untuk mengembangkan sistem rekam medis elektronik
Segera setelah proyek dimulai, permintaan tambahan dari dokter di lapangan terus menerus.
Permintaan tidak berhenti dan pengembangan tertunda, dan rumah sakit universitas memberi pemberitahuan pembatalan kontrak karena keterlambatan.
■Putusan (banding)
Perintah ganti rugi sekitar 1,4 miliar yen kepada rumah sakit universitas
Membatalkan putusan pertama yang memerintahkan ganti rugi kepada kedua belah pihak
■Alasan
・Masalah dilihat pada fakta bahwa rumah sakit tidak memperhatikan peringatan dari pihak vendor bahwa jika mereka menanggapi permintaan tambahan, mereka tidak akan dapat memenuhi tenggat waktu.
Kasus ini adalah kasus di mana perusahaan pengguna dan pihak vendor saling menuntut ganti rugi satu sama lain karena perusahaan pengguna memberikan pemberitahuan pembatalan kontrak karena keterlambatan pengembangan sistem.
Dalam putusan tersebut, penyebab keterlambatan pengembangan diakui sebagai fakta bahwa perusahaan pengguna tidak memperhatikan peringatan dari pihak vendor sistem, dan 100% tanggung jawab diakui pada perusahaan pengguna, dan klaim dari perusahaan pengguna ditolak. Pihak vendor memiliki “kewajiban manajemen proyek” untuk mengelola kemajuan proyek sehingga dapat memenuhi tenggat waktu. Di sisi lain, perusahaan pengguna juga memiliki “kewajiban kerjasama”, dan jika mereka mengabaikan kewajiban tersebut, mereka mungkin harus bertanggung jawab sepenuhnya, dan dalam kasus hukum yang sebenarnya, tanggung jawab ganti rugi ditentukan berdasarkan proporsi tersebut.
Tiga Poin Penting untuk Pengembangan Sistem yang Aman
Untuk menghadapi risiko siber, penting bagi kedua belah pihak, pengguna dan vendor, untuk bekerja sama dalam mengambil tindakan pencegahan.
Berikut ini adalah penjelasan tentang tindakan pencegahan yang dapat dilakukan oleh vendor dan pengguna dari perspektif masing-masing.
Mengerti Risiko Siber yang Ditekankan oleh Badan Pemerintah dan Lainnya
Dari sisi vendor sistem, penting untuk memeriksa pedoman yang dikeluarkan oleh organisasi profesional seperti Kementerian Ekonomi, Perdagangan dan Industri Jepang (Japanese Ministry of Economy, Trade and Industry) dan Organisasi Promosi Pengolahan Informasi Independen (Japanese Independent Information Processing Promotion Organization – IPA), memahami risiko siber saat ini dan metode pencegahannya, dan kemudian melanjutkan dengan pengembangan dan operasi.
Selain itu, bukan hanya dari sisi vendor, tetapi juga perusahaan dari sisi pengguna harus memahami isi pedoman tersebut sampai batas tertentu dan meminta pengembangan dan operasi yang sesuai dengan pedoman tersebut, serta memasukkan klausul tentang tingkat keamanan dalam kontrak.
Referensi: Kementerian Ekonomi, Perdagangan dan Industri Jepang|Pedoman Manajemen Keamanan Siber Ver 2.0[ja]
Referensi: Organisasi Promosi Pengolahan Informasi Independen|Cara Membuat Situs Web yang Aman[ja]
Khususnya, dalam bidang keuangan dan lainnya, mungkin ada kasus di mana keamanan tingkat tinggi diperlukan oleh hukum dan pedoman. Untuk tindakan keamanan terkait aset kripto, kami menjelaskan secara detail di bawah ini.
Artikel terkait: Apa itu Tindakan Keamanan untuk Aset Kripto (Mata Uang Virtual)? Penjelasan dengan 3 Kasus Kebocoran[ja]
Kedua Pihak Harus Memahami Kebutuhan Keamanan
Dalam “Pedoman Manajemen Keamanan Siber Ver 2.0[ja]” dari Kementerian Ekonomi, Perdagangan dan Industri Jepang, dinyatakan secara eksplisit bahwa “Tindakan keamanan siber adalah masalah manajemen”.
Bukan hanya melemparkan masalah keamanan ke pihak vendor karena tidak mengerti, tetapi perusahaan juga harus mempertimbangkan manajemen risiko sebagai bagian dari manajemen dan bertanggung jawab dalam mengambil tindakan.
Kedua Pihak Bekerja Sama dalam Menghadapi Serangan Siber
Ketika menerima serangan siber, bukan saling menyalahkan antara pihak pemesan dan vendor, tetapi seharusnya bekerja sama untuk meminimalkan kerusakan.
Namun, dalam pengembangan sistem, posisi pemesan cenderung lebih kuat, dan pengembangan sistem cenderung berpusat pada biaya dan tenggat waktu. Mungkin ada kasus di mana vendor tidak diberikan cukup uang atau waktu, dan bahkan jika mereka mengusulkan tindakan keamanan, mereka mungkin tidak diterima.
Namun, dalam pedoman, disarankan bahwa perusahaan dari sisi pengguna seharusnya tidak memandang implementasi tindakan keamanan sebagai “biaya”, tetapi seharusnya memposisikannya sebagai hal yang penting untuk aktivitas bisnis dan pertumbuhan di masa depan dan memandangnya sebagai “investasi”.
Dalam pengembangan sistem, penting bagi vendor dan pengguna untuk bekerja sama dalam menghadapi serangan siber dari posisi yang setara.
Kesimpulan: Konsultasikan Pembuatan Kontrak Pengembangan Sistem ke Pengacara
Jika kerugian terjadi akibat serangan siber, mungkin ada pertanggungjawaban yang dituntut dari pihak perusahaan pengguna terhadap vendor yang terlibat dalam pengembangan sistem, dengan alasan bahwa vendor telah mengabaikan tindakan pencegahan risiko siber.
Namun, perusahaan pengguna yang mengabaikan kewajiban kerjasama terhadap vendor juga memiliki tanggung jawab.
Untuk meminimalkan kerugian dari serangan siber, penting untuk menentukan standar sistem dan ruang lingkup tanggung jawab masing-masing dalam kontrak.
Untuk pembuatan kontrak pengembangan sistem dan lainnya, konsultasikan dengan pengacara yang memiliki pengetahuan khusus tingkat tinggi dalam memahami isi pedoman dan risiko siber saat ini.
Panduan Strategi dari Firma Kami
Firma hukum Monolith adalah firma hukum yang memiliki keahlian tinggi dalam IT, khususnya internet dan hukum. Dalam kontrak pengembangan sistem, diperlukan pembuatan kontrak. Di firma kami, kami melakukan pembuatan dan peninjauan kontrak untuk berbagai kasus, mulai dari perusahaan yang terdaftar di Bursa Efek Tokyo hingga perusahaan startup. Jika Anda memiliki masalah dengan kontrak, silakan merujuk ke artikel di bawah ini.
Bidang yang ditangani oleh Firma Hukum Monolith: Hukum terkait Pengembangan Sistem[ja]
Category: IT
Tag: CybercrimeIT