Kerosakan Akibat Serangan Siber. Apakah Tanggungjawab Pampasan Kerosakan Vendor Sistem? Contoh Penjelasan dalam Kontrak
Dalam beberapa tahun kebelakangan ini, serangan siber terhadap syarikat-syarikat semakin meningkat.
Menurut kajian yang dijalankan oleh Persatuan Keselamatan Rangkaian Jepun (Japanese Network Security Association, JNSA), peratusan akses tidak sah dalam kes-kes kebocoran maklumat peribadi adalah 4.7% pada tahun 2013, tetapi telah meningkat kepada 20.3% pada tahun 2018 (Laporan Kajian Insiden Keselamatan Maklumat 2018).
Dalam artikel ini, kami akan menerangkan skop tanggungjawab yang harus ditanggung oleh vendor sistem apabila diserang secara siber, berdasarkan contoh kes mahkamah sebelum ini. Selain itu, kami juga akan menerangkan tentang peranan dan skop tanggungjawab yang harus ditetapkan dalam kontrak antara vendor dan pengguna untuk mengambil langkah-langkah bersama dalam melawan serangan siber, berdasarkan kontrak model.
Adakah Pembekal Sistem Bertanggungjawab atas Pampasan Kerugian Serangan Siber?
Jika syarikat pengguna mengalami kerugian akibat serangan siber, pertama sekali, penyerang siber adalah yang harus dipertanggungjawabkan. Namun, jika ada kemungkinan serangan itu berlaku kerana kecuaian dalam pembangunan atau operasi sistem, tuntutan pampasan kerugian terhadap pembekal sistem oleh pihak pengguna mungkin diterima.
Sebagai asas tuntutan pampasan kerugian yang dituntut terhadap pembekal sistem, terdapat elemen-elemen berikut:
- Tanggungjawab atas ketidaksesuaian kontrak
- Pelanggaran kewajipan berjaga-jaga yang baik
Namun, mungkin juga terdapat situasi di mana kerugian bertambah besar kerana kecuaian pihak pengguna. Dalam hal ini, tanggungjawab pihak pengguna juga diakui. Dalam perbicaraan sebenar, ini dipertimbangkan sebagai penyeimbangan kecuaian, dan terdapat juga kes di mana pampasan kerugian terhadap pihak pembekal sistem dibatasi.
Artikel berkaitan: Apa 3 Kategori Jenayah Siber? Peguam Menerangkan Langkah-langkah Pencegahan bagi Setiap Pola
Tanggungjawab Pampasan Kerugian Vendor Sistem dan Contoh Penyataan dalam Kontrak
Contoh utama kontrak sistem IT antara vendor sistem dan syarikat pengguna adalah seperti berikut:
- Kontrak Pembangunan Perisian
- Kontrak Penyelenggaraan dan Operasi Sistem
- Kontrak Penggunaan Perkhidmatan Awan
Tanggungjawab pampasan kerugian ditentukan berdasarkan kontrak awal, oleh itu, penjelasan mengikut jenis kontrak diberikan di bawah.
Kontrak Pembangunan Perisian
Kontrak pembangunan perisian adalah kontrak yang ditandatangani apabila syarikat pengguna menyerahkan tugas pembangunan sistem syarikat mereka kepada vendor perisian.
Sekiranya syarikat pengguna menjadi mangsa serangan siber dan kelemahan perisian menjadi punca peningkatan kerugian, vendor boleh dipertanggungjawabkan oleh pengguna.
Terdapat dua jenis tanggungjawab yang mesti dipikul oleh vendor sistem, bergantung kepada jenis kontrak pembangunan perisian:
- Kontrak perkhidmatan: Tanggungjawab ketidaksesuaian kontrak
- Kontrak kuasa-kuasa: Pelanggaran kewajipan berjaga-jaga baik
Kontrak Perkhidmatan
Kontrak perkhidmatan adalah kontrak yang menjanjikan penyelesaian sistem dan bayaran dibuat untuk hasil kerja tersebut.
Sekiranya hasil kerja yang diserahkan “tidak sesuai dengan objektif kontrak”, tanggungjawab ketidaksesuaian kontrak (Undang-undang Sivil Jepun Artikel 559, Artikel 562) akan timbul dalam tempoh tertentu selepas penyerahan.
Dengan kata lain, hasil kerja yang boleh menyebabkan gangguan sistem dengan mudah melalui serangan siber dianggap “tidak sesuai dengan objektif kontrak”, dan pengguna mungkin menuntut pampasan kerugian berdasarkan tanggungjawab ketidaksesuaian kontrak.
Sama ada tuntutan ini akan diterima atau tidak bergantung kepada tahap keselamatan perisian yang telah ditetapkan antara pihak-pihak yang berkenaan.
【Contoh Penyataan Tanggungjawab Ketidaksesuaian Kontrak】
Perkara 〇 Selepas penerimaan selesai mengikut perkara sebelumnya, jika ketidaksesuaian (termasuk bug. Dalam perkara ini, dikenali sebagai “ketidaksesuaian kontrak”) ditemui dalam hasil kerja, pihak A boleh meminta pihak B untuk melengkapkan pelaksanaan pembetulan ketidaksesuaian kontrak tersebut (dalam perkara ini, dikenali sebagai “pelengkap”). Pihak B harus melaksanakan pelengkap tersebut. Walau bagaimanapun, kecuali jika ia memberikan beban yang tidak wajar kepada pihak A, pihak B boleh melaksanakan pelengkap dengan cara yang berbeza daripada yang diminta oleh pihak A.
2. Walaupun berkenaan dengan perkara sebelumnya, jika objektif kontrak individu masih boleh dicapai walaupun ada ketidaksesuaian kontrak dan jika pelengkap memerlukan kos yang berlebihan, pihak B tidak perlu memikul kewajipan pelengkap yang ditentukan dalam perkara sebelumnya.
3. Jika pihak A mengalami kerugian akibat ketidaksesuaian kontrak tersebut (hanya yang disebabkan oleh sebab yang harus dipertanggungjawabkan oleh pihak B), pihak A boleh menuntut pampasan daripada pihak B.
Petikan: Sistem Informasi – Model Transaksi – Kontrak (Edisi Kedua)
Kontrak Kuasa-kuasa
Kontrak kuasa-kuasa tidak mempunyai aplikasi tanggungjawab ketidaksesuaian kontrak kerana ia tidak mempunyai kewajipan untuk menyelesaikan hasil kerja. Sebagai gantinya, ia mempunyai “kewajipan untuk mengurus tugas kuasa dengan perhatian seorang pengurus yang baik” (kewajipan berjaga-jaga baik).
Sekiranya gangguan sistem berlaku akibat serangan siber, walaupun tahap keselamatan tidak ditentukan semasa kontrak, pembangunan sistem seumpama itu boleh dianggap sebagai “pelanggaran kewajipan berjaga-jaga baik” (Undang-undang Sivil Jepun Artikel 656, Artikel 644), dan mungkin menghadapi tuntutan pampasan kerugian.
【Contoh Penyataan Kewajipan Berjaga-jaga Baik】
Perkara 〇 Pihak B, setelah menandatangani kontrak individu mengikut perkara 〇, akan memberikan perkhidmatan (disebut “perkhidmatan sokongan pembuatan definisi keperluan”) untuk membantu pihak A dalam kerja pembuatan definisi keperluan berdasarkan konsep sistem informasi yang dibuat oleh pihak A, rancangan sistem, dan lain-lain.
2. Pihak B, berdasarkan pengetahuan dan pengalaman profesional dalam teknologi pemprosesan maklumat, akan menjalankan kerja sokongan seperti penyelidikan, analisis, pengaturan, cadangan, dan nasihat dengan perhatian seorang pengurus yang baik untuk memastikan kerja pihak A berjalan lancar dan tepat.
Petikan: Sistem Informasi – Model Transaksi – Kontrak (Edisi Kedua)
Kontrak Penyelenggaraan & Operasi Sistem
Kontrak Penyelenggaraan & Operasi Sistem adalah perjanjian di mana syarikat menyerahkan tugas penyelenggaraan dan operasi perisian sedia ada kepada vendor perisian. Semasa menandatangani kontrak penyelenggaraan dan operasi, adalah biasa untuk memasukkan tahap keselamatan yang perlu dipenuhi dalam kontrak, seperti dalam spesifikasi kerja.
Jika kerugian berlaku akibat serangan siber, jika tahap keselamatan sistem lebih rendah daripada tahap yang disepakati semasa kontrak, tanggungjawab atas pelanggaran kontrak akan dituntut berdasarkan klausa ketidaksesuaian kontrak.
Walau bagaimanapun, jika tahap keselamatan tidak ditentukan terlebih dahulu, menjalankan dan menyelenggara sistem yang rentan terhadap serangan siber mungkin bertentangan dengan kewajipan berjaga-jaga yang baik, dan tanggungjawab mungkin dituntut.
Perjanjian Penggunaan Perkhidmatan Awan
Perjanjian Penggunaan Perkhidmatan Awan adalah kontrak yang ditandatangani apabila menggunakan perkhidmatan yang disediakan oleh vendor di atas awan. Kerana vendor dijangka akan menyediakan perkhidmatan yang sama kepada sebilangan besar pengguna, biasanya kontrak akan ditandatangani mengikut terma penggunaan yang ditetapkan oleh vendor.
Secara umumnya, dalam kontrak ini, tanggungjawab jika perkhidmatan tidak dapat disediakan akibat serangan siber akan dinyatakan terlebih dahulu.
Dalam Perjanjian Penggunaan Perkhidmatan Awan, biasanya, perkara berikut akan ditentukan semasa kontrak:
- SLA (Service Level Agreement): Jaminan dan peraturan operasi berkaitan kualiti
- Klausa Had Tanggungjawab: Skop tanggungjawab vendor jika berlaku kerugian
SLA adalah pernyataan yang menjelaskan tahap permintaan pengguna dan peraturan operasi pihak penyedia. Jika perkhidmatan yang ditentukan di sini tidak dapat diterima, anda boleh membuat tuntutan ganti rugi atas sebahagian daripada pelanggaran kontrak. Selain itu, dalam kontrak, vendor mungkin menetapkan klausa had tanggungjawab yang menghadkan syarat-syarat di mana mereka boleh menerima tuntutan pelanggaran kontrak dan menghadkan jumlah ganti rugi yang boleh diterima, walaupun tanggungjawab mereka diakui.
Walau bagaimanapun, kerana klausa had tanggungjawab biasanya mengandungi peraturan yang menguntungkan vendor, jika berlaku pertikaian, ia mungkin dibatasi oleh prinsip hukum keputusan Jepun.
【Contoh Penulisan Klausa Had Tanggungjawab】
Perkara 〇: Jika A dan B mengalami kerugian akibat sebab yang boleh dipertanggungjawabkan kepada pihak lain dalam pelaksanaan kontrak ini dan kontrak individu, mereka boleh membuat tuntutan ganti rugi kepada pihak lain (hanya untuk kerugian 〇〇〇). Walau bagaimanapun, tuntutan ini tidak boleh dibuat selepas 〇 bulan dari tarikh penerimaan barang yang ditentukan dalam kontrak individu yang menjadi sebab tuntutan ganti rugi atau tarikh pengesahan penyelesaian kerja.
2. Jumlah keseluruhan ganti rugi yang berkaitan dengan pelaksanaan kontrak ini dan kontrak individu, tidak kira sebab tuntutan, termasuk pelanggaran kontrak (termasuk tanggungjawab ketidaksesuaian kontrak), keuntungan yang tidak adil, tindakan haram, dan lain-lain, adalah terhad kepada jumlah 〇〇〇 yang ditentukan dalam kontrak individu yang menjadi sebab sebab yang boleh dipertanggungjawabkan.
3. Perkara sebelumnya tidak akan digunakan jika ia berdasarkan niat atau kecuaian serius oleh pihak yang bertanggungjawab untuk ganti rugi.
Petikan: Sistem Informasi – Model Transaksi – Kontrak (Edisi Kedua)
Kriteria Penentuan Lingkungan Tanggung Jawab Ganti Rugi Pihak Vendor Sistem
Apabila terjadi kerugian pada perusahaan pengguna akibat serangan siber, dalam situasi apa tanggung jawab pihak vendor yang mengembangkan sistem dapat dipertanyakan?
Di bawah ini, kami akan menjelaskan berdasarkan contoh kasus di mana tanggung jawab pihak vendor sistem dipertanyakan.
Apakah tindakan telah diambil sesuai dengan tingkat teknologi pada saat pengembangan?
Dalam kasus hukum di mana tanggung jawab dipertentangkan, sangat penting apakah pihak vendor sistem telah melaksanakan tindakan keamanan sesuai dengan standar yang ditetapkan oleh badan pemerintah dan organisasi industri pada saat pengembangan.
Ada contoh kasus di mana pihak vendor sistem diperintahkan untuk membayar ganti rugi akibat kerugian yang disebabkan oleh serangan siber, seperti di bawah ini.
【Contoh Kasus】Pengadilan Distrik Tokyo, 23 Januari 2014 (Heisei 26)
Pengguna: Syarikat X yang menjalankan penjualan runcit dan penjualan melalui komunikasi bahan dalaman
Vendor: Syarikat Y yang menerima kontrak untuk merancang dan memelihara sistem pesanan web
Kejadian di mana informasi kad kredit 7,000 pelanggan bocor akibat serangan siber
■Keputusan
Perintah ganti rugi sekitar 20 juta yen kepada pihak vendor sistem
Jumlah yang melebihi sekitar 2 juta yen dari bayaran pengembangan diakui
Kesalahan juga diakui pada pihak syarikat X, dan penyeimbangan kesalahan 30% diberikan
■Alasan
・Pihak vendor sistem telah mengabaikan kewajiban untuk melaksanakan tindakan keamanan sesuai dengan tingkat teknologi pada masa itu.
・Meskipun pihak syarikat pengguna telah menerima penjelasan risiko dari pihak vendor sistem, mereka mengabaikan tindakan tersebut, dan penyeimbangan kesalahan 30% diberikan karena ada kesalahan pada pihak mereka.
Pada tahun 2014, “Serangan Injeksi SQL” adalah metode serangan siber yang utama, dan Kementerian Ekonomi, Perdagangan dan Industri juga telah menerbitkan dokumen yang berjudul “Peringatan tentang Penyempurnaan Langkah-langkah Pengelolaan Keselamatan Data Pribadi berdasarkan Undang-undang Perlindungan Informasi Pribadi (Japanese Personal Information Protection Law)“, menunjukkan risiko siber dan menyerukan peningkatan sistem.
Keputusan tersebut mengakui tanggung jawab pihak vendor sistem yang tidak mengambil tindakan dan memerintahkan ganti rugi, sementara juga mengakui bahwa ada kesalahan pada pihak perusahaan pengguna dan memberikan penyeimbangan kesalahan sebesar 30%.
Apakah ada kesalahan pada pihak perusahaan pengguna?
Perusahaan pengguna yang memesan pengembangan sistem juga memiliki kewajiban, dan jika ada kesalahan, mereka mungkin harus bertanggung jawab sepenuhnya.
Di bawah ini adalah contoh kasus di mana bukan merupakan contoh serangan siber, tetapi tanggung jawab penuh perusahaan pengguna diakui dan perintah ganti rugi diberikan.
【Contoh Kasus】Pengadilan Distrik Asahikawa, 31 Ogos 2017 (Heisei 29)
Pengguna: Hospital Universiti
Vendor: Syarikat sistem yang diminta oleh hospital universiti untuk mengembangkan sistem rekod elektronik
Segera setelah memulai projek, permintaan tambahan dari doktor di tempat kerja berturut-turut.
Permintaan tidak berhenti dan pengembangan tertunda, dan pihak hospital universiti memberi notis pembatalan kontrak karena keterlambatan.
■Keputusan (Rayuan)
Perintah ganti rugi sekitar 1.4 bilion yen kepada pihak hospital universiti
Keputusan pengadilan pertama yang memerintahkan ganti rugi kepada kedua belah pihak dibatalkan
■Alasan
・Masalah dilihat pada fakta bahwa pihak hospital tidak memperhatikan peringatan dari pihak vendor bahwa jika mereka menanggapi permintaan tambahan, mereka tidak akan dapat memenuhi tenggat waktu.
Kasus ini adalah peristiwa di mana kedua belah pihak, pengguna dan vendor, masing-masing menuntut ganti rugi dari pihak lain karena pengguna memberikan notis pembatalan kontrak karena keterlambatan pengembangan sistem.
Keputusan tersebut mengakui bahwa penyebab keterlambatan pengembangan adalah karena pihak pengguna tidak memperhatikan peringatan dari pihak vendor sistem, mengakui 100% tanggung jawab pada pihak pengguna, dan menolak tuntutan dari pengguna. Pihak vendor memiliki “kewajiban pengelolaan proyek” untuk mengelola kemajuan proyek sehingga dapat memenuhi tenggat waktu. Sebaliknya, pihak pengguna juga memiliki “kewajiban kerjasama”, dan jika mereka mengabaikan kewajiban tersebut, mereka mungkin harus bertanggung jawab sepenuhnya, dan dalam kasus hukum sebenarnya, tanggung jawab ganti rugi ditentukan berdasarkan proporsi tersebut.
Tiga Titik Penting untuk Pembangunan Sistem yang Selamat
Untuk bersedia menghadapi risiko siber, adalah penting bagi kedua-dua pihak pengguna dan vendor untuk bekerjasama dalam mengambil tindakan pencegahan.
Di bawah ini, kami akan menerangkan tindakan yang boleh diambil oleh vendor dan pengguna dari perspektif masing-masing.
Memahami Risiko Siber yang Dikemukakan oleh Agensi Kerajaan dan lain-lain
Pihak vendor sistem harus memeriksa garis panduan yang dikeluarkan oleh agensi profesional seperti Kementerian Ekonomi, Perdagangan dan Industri Jepun (Japanese Ministry of Economy, Trade and Industry) dan Organisasi Promosi Pengolahan Maklumat (Information Processing Promotion Organization – IPA), memahami risiko siber semasa dan kaedah pencegahannya, dan kemudian menerapkannya dalam pembangunan dan operasi.
Selain itu, bukan sahaja pihak vendor, tetapi juga syarikat pengguna harus memahami kandungan garis panduan ini sejauh mana yang boleh dan meminta pembangunan dan operasi yang mengikut garis panduan ini, dan memasukkan klausa tahap keselamatan dalam kontrak.
Rujukan: Organisasi Promosi Pengolahan Maklumat | Cara Membuat Laman Web yang Selamat
Khususnya, dalam bidang kewangan dan sebagainya, terdapat kes di mana keselamatan tinggi diperlukan oleh undang-undang dan garis panduan. Untuk langkah-langkah keselamatan berkaitan dengan aset kripto, sila lihat penjelasan terperinci di bawah ini.
Artikel Berkaitan: Apa itu langkah-langkah keselamatan untuk aset kripto? Diterangkan bersama dengan tiga kes kebocoran
Kedua-dua Pihak Harus Memahami Keperluan Keselamatan
Dalam “Garis Panduan Pengurusan Keselamatan Siber Ver2.0” oleh Kementerian Ekonomi, Perdagangan dan Industri Jepun, ia secara jelas menyatakan bahawa “langkah-langkah keselamatan siber adalah isu pengurusan”.
Bukan sahaja melemparkan semua kepada pihak vendor kerana tidak memahami tentang keselamatan, tetapi syarikat juga harus memandang pengurusan risiko sebagai sebahagian daripada pengurusan dan bertanggungjawab dalam mengambil tindakan pencegahan.
Kedua-dua Pihak Harus Bekerjasama untuk Menghadapi Serangan Siber
Bila diserang secara siber, bukanlah untuk menolak tanggungjawab antara pihak yang membuat pesanan dan pihak vendor, tetapi untuk bekerjasama dalam usaha untuk meminimumkan kerosakan.
Namun, dalam pembangunan sistem, kedudukan pihak yang membuat pesanan cenderung kuat, dan pembangunan sistem cenderung dipromosikan dengan fokus pada kos dan tarikh penyerahan. Mungkin ada kes di mana pihak vendor tidak diberikan cukup wang atau masa, dan cadangan mereka untuk keselamatan tidak diterima.
Namun, dalam garis panduan, syarikat pengguna disarankan untuk tidak melihat pelaksanaan langkah-langkah keselamatan sebagai “kos”, tetapi untuk memposisikannya sebagai sesuatu yang penting untuk aktiviti perniagaan dan pertumbuhan masa depan dan melihatnya sebagai “pelaburan”.
Dalam pembangunan sistem, adalah penting bagi vendor dan pengguna untuk bekerjasama dalam menghadapi serangan siber dari kedudukan yang sama rata.
Rumusan: Rujuk kepada peguam untuk pembuatan kontrak pembangunan sistem
Jika kerugian berlaku akibat serangan siber, vendor yang terlibat dalam pembangunan sistem mungkin dipertanggungjawabkan oleh syarikat pengguna atas kegagalan mereka dalam mengambil tindakan pencegahan risiko siber.
Namun, syarikat pengguna yang gagal memenuhi kewajipan kerjasama terhadap vendor juga mempunyai tanggungjawab.
Untuk meminimumkan kerugian akibat serangan siber, adalah penting untuk menentukan tahap sistem dan lingkup tanggungjawab masing-masing dalam kontrak.
Untuk pembuatan kontrak pembangunan sistem dan sebagainya, anda harus merujuk kepada peguam yang mempunyai pengetahuan pakar yang tinggi dalam memahami kandungan garis panduan dan risiko siber semasa.
Panduan Mengenai Langkah-langkah yang Diambil oleh Firma Kami
Firma undang-undang Monolith adalah sebuah firma undang-undang yang memiliki kepakaran tinggi dalam kedua-dua bidang IT, khususnya internet dan undang-undang. Dalam kontrak pembangunan sistem, adalah penting untuk membuat perjanjian. Di firma kami, kami melakukan pembuatan dan ulasan perjanjian untuk pelbagai kes, dari syarikat tersenarai di Bursa Saham Tokyo hingga syarikat startup. Jika anda menghadapi masalah berkaitan dengan perjanjian, sila rujuk artikel di bawah.
Bidang yang ditangani oleh Firma Undang-undang Monolith: Undang-undang berkaitan Pembangunan Sistem
Category: IT
Tag: CybercrimeIT