Ущерб от кибератак. Какова ответственность системного поставщика за возмещение ущерба? Примеры описания в договоре
В последние годы число кибератак на компании продолжает расти.
Согласно исследованию Японской ассоциации безопасности сети (JNSA), доля незаконного доступа в общем количестве случаев утечки персональных данных в 2013 году составляла всего 4,7%, но к 2018 году (Григорианский календарь) этот показатель увеличился до 20,3% (Отчет об исследовании инцидентов информационной безопасности в 2018 году[ja]).
В этой статье мы рассмотрим область ответственности поставщиков систем в случае кибератаки, опираясь на прецеденты прошлых судебных дел. Кроме того, мы обсудим роли и области ответственности, которые стороны должны определить в договоре для совместной борьбы с кибератаками, на основе образца договора.
Несят ли системные вендоры ответственность за ущерб от кибератак?
Если компания-пользователь становится жертвой кибератаки и несет ущерб, первым, кого следует привлечь к ответственности, является злоумышленник кибератаки. Однако, если атака стала возможной из-за недостатков в разработке и эксплуатации системы, компания-пользователь может иметь право требовать компенсацию ущерба от системного вендора.
Основаниями для требования компенсации ущерба от системного вендора могут быть следующие:
- Несоответствие контракту
- Нарушение обязанности должного управления
Однако, ущерб может увеличиться из-за недостатков со стороны пользователя. В этом случае, ответственность пользователя также может быть признана. В реальных судебных процессах, это учитывается как компенсация за вину, и компенсация ущерба от системного вендора может быть ограничена.
Связанные статьи: Что такое 3 категории киберпреступлений? Юрист объясняет меры противодействия для каждого типа[ja]
Ответственность системного вендора за ущерб и примеры записей в договоре
Типичными примерами IT-системных договоров между системным вендором и пользовательской компанией являются следующие три:
- Договор на разработку программного обеспечения
- Договор на обслуживание и эксплуатацию системы
- Договор на использование облачных сервисов
Ответственность за ущерб определяется исходным договором, поэтому ниже мы рассмотрим каждый тип договора отдельно.
Договор о разработке программного обеспечения
Договор о разработке программного обеспечения – это договор, заключаемый между компанией-пользователем и поставщиком программного обеспечения, когда компания-пользователь поручает разработку своей системы поставщику программного обеспечения.
Если компания-пользователь подвергается кибератаке и уязвимость программного обеспечения становится причиной расширения ущерба, возможно привлечение поставщика к ответственности со стороны пользователя.
Ответственность, которую несет поставщик системы, в зависимости от типа договора о разработке программного обеспечения, может быть двух видов:
- Подрядный договор: ответственность за несоответствие договору
- Договор о доверительном управлении: нарушение обязанности должного управления
Подрядный договор
Подрядный договор – это договор, в котором обещается завершение системы, и за результаты работы выплачивается вознаграждение.
Если переданный результат работы “не соответствует цели договора”, в течение определенного периода после передачи на подрядчика возникает ответственность за несоответствие договору (Статьи 559 и 562 Гражданского кодекса Японии[ja]).
То есть, если результат работы легко вызывает сбои в системе из-за кибератаки, он может быть признан “несоответствующим цели договора”, и со стороны пользователя может быть предъявлен иск о возмещении ущерба на основании ответственности за несоответствие договору.
Признается ли этот иск, зависит от уровня безопасности программного обеспечения, который был заранее определен между сторонами.
【Пример записи об ответственности за несоответствие договору】
Статья 〇 После завершения приемки, указанной в предыдущей статье, если обнаружено несоответствие (включая ошибки, далее в этой статье – “несоответствие договору”) между спецификациями системы и поставленным продуктом, сторона А может потребовать от стороны Б выполнить дополнительные обязательства (далее в этой статье – “дополнительное выполнение”) для исправления данного несоответствия договору, и сторона Б должна выполнить данное дополнительное выполнение. Однако, если это не налагает на сторону А неоправданных обязательств, сторона Б может выполнить дополнительное выполнение иным способом, отличным от того, который потребовала сторона А.
2. Несмотря на предыдущий пункт, если цель отдельного договора может быть достигнута, несмотря на данное несоответствие договору, и если дополнительное выполнение требует чрезмерных расходов, сторона Б не обязана выполнять обязательства по дополнительному выполнению, предусмотренные в предыдущем пункте.
3. Если сторона А понесла ущерб из-за данного несоответствия договору (ограничено случаями, когда это произошло по вине стороны Б), сторона А может предъявить иск о возмещении ущерба против стороны Б.
Цитата: Образец договора о торговле информационными системами (второе издание)[ja]
Договор о доверительном управлении
В договоре о доверительном управлении не применяется ответственность за несоответствие договору, поскольку не предусмотрена обязанность по завершению продукта. Вместо этого, они несут “обязанность обрабатывать дела доверительного управления с должной заботой хорошего администратора” (обязанность должного управления).
Если из-за кибератаки происходит сбой в системе, даже если уровень безопасности не был определен при заключении договора, разработка системы такого уровня может быть признана “нарушением обязанности должного управления” (Статьи 656 и 644 Гражданского кодекса Японии[ja]), и возможно предъявление иска о возмещении ущерба.
【Пример записи об обязанности должного управления】
Статья 〇 Сторона Б, после заключения отдельного договора, указанного в статье 〇, предоставляет услуги по поддержке создания спецификации требований (далее “работа по поддержке создания спецификации требований”) на основе концепции информационной системы, плана систематизации и т.д., созданных стороной А, в рамках данного проекта.
2. Сторона Б, на основе специализированных знаний и опыта в области информационных технологий, обязуется проводить работы по поддержке, такие как исследование, анализ, организация, предложение и консультации, с должной заботой хорошего администратора, чтобы работа стороны А была выполнена гладко и адекватно.
Цитата: Образец договора о торговле информационными системами (второе издание)[ja]
Система поддержки и эксплуатации договора
Система поддержки и эксплуатации договора – это контракт, в котором компания поручает поставщику программного обеспечения работу по поддержке и эксплуатации существующего программного обеспечения. При заключении договора на поддержку и эксплуатацию обычно включают в контракт уровень безопасности, который должен быть достигнут, как указано в техническом задании и других документах.
Если в результате кибератаки происходит ущерб и уровень безопасности системы ниже, чем было согласовано при заключении договора, то на основании положений о несоответствии договора может быть предъявлена ответственность за неисполнение обязательств.
Однако, если уровень безопасности не был определен заранее, то поддержка и эксплуатация системы, уязвимой к кибератакам, может быть рассмотрена как нарушение обязанности по должному управлению, и ответственность может быть предъявлена.
Договор об использовании облачных сервисов
Договор об использовании облачных сервисов – это соглашение, заключаемое при использовании сервисов, предоставляемых поставщиком в облаке. Поскольку предполагается, что поставщик предоставляет одну и ту же услугу множеству пользователей, часто заключаются договоры в соответствии с условиями использования, установленными поставщиком.
Обычно в этом договоре заранее указывается ответственность в случае, если сервис не может быть предоставлен из-за кибератаки.
В договоре об использовании облачных сервисов обычно устанавливаются следующие условия при заключении договора:
- SLA (Service Level Agreement): гарантии качества и правила управления
- Ограничительные условия ответственности: область ответственности поставщика в случае возникновения ущерба
SLA – это документ, в котором формализованы требования пользователя и правила управления со стороны поставщика. Если услуга, указанная в этом документе, не может быть предоставлена, можно подать иск о возмещении ущерба за частичное неисполнение обязательств. Кроме того, в договоре может быть установлено “ограничительное условие ответственности”, которое заранее ограничивает условия, при которых поставщик может быть привлечен к ответственности за неисполнение обязательств, и даже если ответственность признается, ограничивает сумму возмещения.
Однако, поскольку ограничительные условия ответственности часто выгодны для поставщика, в случае спора они могут быть ограничены в соответствии с принципами японского судебного прецедента.
【Пример ограничительного условия ответственности】
Статья ○. Как А, так и Б могут требовать возмещения ущерба от другой стороны, если они понесли ущерб в связи с исполнением настоящего договора и отдельного договора по причинам, которые следует приписать другой стороне, (ограничено ущербом ○○○). Однако, это требование не может быть предъявлено после истечения ○ месяцев с даты окончательного приемки товара, указанного в соответствующем отдельном договоре, или даты окончания работы.
2. Общая сумма возмещения ущерба в связи с исполнением настоящего договора и отдельного договора, независимо от причины требования, включая неисполнение обязательств (включая ответственность за несоответствие договору), несправедливое обогащение, незаконные действия, ограничена суммой ○○○, указанной в отдельном договоре, который стал причиной ответственности.
3. Предыдущий пункт не применяется в случае, если обязанность по возмещению ущерба основана на умышленном действии или грубой небрежности ответственного лица.
Цитата: Информационная система – образец договора (второе издание)[ja]
Критерии определения ответственности системного вендора за возмещение ущерба
В случае возникновения ущерба у пользовательской компании из-за кибератаки, в каких конкретных случаях может быть поставлен вопрос о возможной ответственности вендора, разработавшего систему?
Ниже мы рассмотрим на примере реальных судебных дел, когда вопрос о ответственности системного вендора был поставлен на обсуждение.
Были ли приняты меры в соответствии с уровнем технологий на момент разработки?
В реальных судебных процессах, когда возникает спор о ответственности, особое внимание уделяется тому, принимал ли системный вендор меры безопасности, соответствующие уровню, предписанному в предупреждениях и руководствах государственных учреждений и отраслевых ассоциаций на момент разработки.
Существуют примеры судебных дел, в которых системному вендору было приказано возместить ущерб, вызванный кибератакой.
【Пример судебного дела】Токийский окружной суд, 23 января 2014 года (Heisei 26)
Пользователь: Компания X, занимающаяся розничной торговлей и почтовыми продажами интерьерных товаров
Вендор: Компания Y, которая приняла на себя обязательства по проектированию и обслуживанию веб-системы для приема заказов
Инцидент с утечкой информации о кредитных картах 7 000 клиентов из-за кибератаки
■Решение суда
Приказ о возмещении ущерба системным вендором на сумму около 20 миллионов иен
Признана сумма, превышающая стоимость разработки на около 2 миллиона иен
Признана вина компании X, сокращение ущерба на 30% из-за небрежности
■Причина
・Системный вендор пренебрег обязанностью принять меры безопасности, соответствующие уровню технологий на тот момент.
・Несмотря на то, что пользовательская компания получила объяснение рисков от системного вендора, она пренебрегла принятием мер. Поэтому было признано, что у пользовательской компании также есть вина, и было применено сокращение ущерба на 30% из-за небрежности.
В 2014 году основным методом кибератак была “атака SQL-инъекцией”, и Министерство экономики, торговли и промышленности опубликовало документ под названием “Предупреждение о необходимости усиления мер безопасности персональных данных в соответствии с Законом о защите персональных данных[ja]“, указывая на киберриски и призывая к усилению системы.
Решение суда признало ответственность системного вендора, который не принял меры, и приказало возместить ущерб, однако также признало, что у пользовательской компании есть вина, и признало сокращение ущерба на 30% из-за небрежности.
Есть ли вина со стороны пользовательской компании?
У компании-заказчика разработки системы также есть обязанности, и если она допускает промахи, она может нести полную ответственность.
Ниже приведен пример судебного дела, которое не связано с кибератакой, но в котором полностью признана ответственность пользовательской компании и было вынесено решение о возмещении ущерба.
【Пример судебного дела】Суд Асахикава, 31 августа 2017 года (Heisei 29)
Пользователь: Университетская больница
Вендор: Системная компания, которой университетская больница поручила разработку системы электронных медицинских карт
Сразу после начала проекта последовали дополнительные требования от врачей на месте.
Требования не прекращались, разработка задерживалась, и университетская больница расторгла контракт из-за задержки.
■Решение суда (апелляционная инстанция)
Приказ о возмещении ущерба университетской больнице на сумму около 1,4 миллиарда иен
Отменено решение первой инстанции, которое приказывало обеим сторонам возместить ущерб
■Причина
Проблемой стало то, что больница не прислушалась к предупреждению вендора о том, что если удовлетворить дополнительные требования, сроки не будут соблюдены.
Это судебное дело связано с тем, что пользовательская сторона расторгла контракт из-за задержки в разработке системы, и обе стороны подали иск друг против друга, требуя возмещения ущерба.
В решении суда было признано, что причиной задержки в разработке было то, что пользовательская сторона не прислушалась к предупреждению системного вендора. Была признана 100% ответственность со стороны пользователя, и было отклонено требование пользователя. У вендора есть “обязанность управления проектом”, чтобы проект был завершен в срок. С другой стороны, у пользователя есть “обязанность сотрудничества”, и если он ее не выполняет, он может нести полную ответственность. В реальных судебных делах ответственность за возмещение ущерба определяется в зависимости от этой пропорции.
Три ключевых момента для безопасной разработки систем
Для предотвращения киберрисков важно, чтобы обе стороны – пользователи и поставщики – совместно работали над мерами безопасности.
Ниже мы рассмотрим меры, которые поставщики и пользователи могут принять с учетом своих позиций.
Понимание киберрисков, указанных государственными и другими органами
Со стороны поставщиков систем важно ознакомиться с руководствами, выпущенными специализированными организациями, такими как Министерство экономики, торговли и промышленности Японии (Japanese Ministry of Economy, Trade and Industry) и Независимое административное агентство по продвижению обработки информации (Japanese Information-technology Promotion Agency, IPA), чтобы понять текущие киберриски и методы их преодоления перед разработкой и эксплуатацией.
Кроме того, не только поставщики, но и пользователи должны иметь представление о содержании этих руководств и требовать разработку и эксплуатацию в соответствии с ними, включая в контракт положения о уровне безопасности.
Ссылка: Агентство по продвижению обработки информации | Как создать безопасный веб-сайт[ja]
В частности, в области финансов и других сферах законодательство и руководства могут требовать высокого уровня безопасности. Меры безопасности, связанные с криптоактивами, подробно описаны ниже.
Связанная статья: Что такое меры безопасности для криптоактивов (виртуальных валют)? Объяснение с тремя случаями утечки[ja]
Обе стороны понимают необходимость безопасности
В “Руководстве по управлению кибербезопасностью Ver 2.0” Министерства экономики, торговли и промышленности Японии (Japanese Ministry of Economy, Trade and Industry) ясно указано, что меры кибербезопасности являются вопросом управления.
Вместо того чтобы полностью передать вопросы безопасности поставщику из-за незнания, компания должна рассматривать управление рисками как часть управления и брать на себя ответственность за принятие мер.
Обе стороны совместно справляются с кибератаками
В случае кибератаки заказчик и поставщик должны работать вместе, чтобы минимизировать ущерб, а не перекладывать ответственность друг на друга.
Однако, заказчики системной разработки часто имеют преимущество, и разработка системы часто основывается на стоимости и сроках. Поставщики могут не получить достаточно времени и денег, и их предложения по безопасности могут быть отклонены.
Однако, в руководстве указано, что компании-пользователи должны рассматривать реализацию мер безопасности не как “расходы”, а как “инвестиции”, необходимые для будущей бизнес-деятельности и роста.
В разработке систем важно, чтобы поставщики и пользователи работали вместе на равных, чтобы справиться с кибератаками.
Вывод: для составления договора о разработке системы обратитесь к адвокату
В случае возникновения ущерба от кибератаки, вендор, участвующий в разработке системы, может быть привлечен к ответственности со стороны пользовательской компании за недостаточные меры противодействия киберриску.
Однако, пользовательская компания, которая пренебрегла обязанностью сотрудничать с вендором, также несет ответственность.
Для минимизации ущерба от кибератак, необходимо определить уровень системы и область ответственности каждой стороны в договоре.
При составлении договора о разработке системы, обратитесь к адвокату с высокой степенью специализации, который разбирается в содержании руководящих принципов и текущих киберрисках.
Информация о мерах, предпринимаемых нашей юридической фирмой
Юридическая фирма “Монолит” обладает высокой специализацией в области IT, особенно в интернете и праве. При заключении договора о разработке системы необходимо составление договора. В нашей фирме мы занимаемся созданием и рассмотрением договоров для различных проектов, от компаний, котировавшихся на Токийской бирже, до стартапов. Если у вас возникли проблемы с договором, пожалуйста, обратитесь к статье ниже.
Сферы деятельности юридической фирмы “Монолит”: Правовые вопросы, связанные с разработкой систем[ja]
Category: IT
Tag: CybercrimeIT
