Skada från cyberattacker. Vad är systemleverantörens skadeståndsansvar? Förklaring av exempel på kontraktsdokumentation
På senare år har cyberattacker mot företag ökat stadigt.
Enligt en undersökning av den japanska icke-vinstdrivande organisationen för nätverkssäkerhet (Japanese Network Security Association, JNSA), var andelen obehörig tillgång i händelser av personuppgiftsläckage 4,7% av det totala antalet 2013, men detta ökade till 20,3% 2018 (2018 års rapport om säkerhetsincidenter[ja]).
I denna artikel kommer vi att förklara omfattningen av systemleverantörens ansvar vid en cyberattack, baserat på tidigare rättsfall. Vi kommer också att förklara de roller och ansvarsområden som bör fastställas i kontraktet för att leverantören och användaren gemensamt ska kunna vidta åtgärder mot cyberattacker, baserat på modellkontrakt.
Bär systemleverantörer skadeståndsansvar för cyberattacker?
När ett företag på användarsidan drabbas av en cyberattack och skada uppstår, är det första som bör hållas ansvarigt gärningsmannen bakom cyberattacken. Men om det finns en möjlighet att attacken har underlättats genom fel i systemutveckling och drift, kan det också vara möjligt att godkänna en skadeståndskrav från användarsidan mot systemleverantören.
Grunden för skadeståndskravet mot systemleverantören kan vara följande:
- Ansvar för kontraktsbrott
- Brott mot skyldigheten att utöva god omsorg
Men det kan också hända att skadan förvärras på grund av användarens försummelse. I sådana fall erkänns även användarens ansvar. I faktiska rättegångar har det varit fall där detta har beaktats som en kompensation för försummelse, och skadeståndet mot systemleverantören har begränsats.
Relaterad artikel: Vad är de tre kategorierna av cyberbrott? En advokat förklarar skadeförebyggande åtgärder för varje mönster[ja]
Systemleverantörens skadeståndsansvar och exempel på kontraktsdokument
Det finns tre huvudtyper av IT-systemkontrakt mellan systemleverantörer och företagsanvändare:
- Mjukvaruutvecklingskontrakt
- Systemunderhålls- och driftskontrakt
- Kontrakt för användning av molntjänster
Skadeståndsansvaret bestäms av det ursprungliga kontraktet, så nedan förklaras det för varje kontraktstyp.
Programvaruutvecklingsavtal
Ett programvaruutvecklingsavtal är ett avtal som ingås när ett företag på användarsidan anlitar en programvaruleverantör för att utveckla sitt företagssystem.
Om företaget på användarsidan utsätts för en cyberattack och programvarans sårbarhet blir orsaken till att skadan förvärras, kan ansvaret spåras tillbaka till leverantören från användaren.
Systemleverantörens ansvar varierar beroende på typen av programvaruutvecklingsavtal och kan delas in i följande två kategorier:
- Entreprenadavtal: Ansvar för kontraktsbrist
- Halvförtroendeavtal: Brott mot skyldigheten att utöva god omsorg
Entreprenadavtal
Ett entreprenadavtal är ett avtal där fullbordandet av systemet lovas och betalning görs för det färdiga arbetet.
Om det levererade arbetet “inte uppfyller kontraktets syfte” inom en viss tid efter leverans, uppstår ett ansvar för kontraktsbrist (japansk civilrätt artiklarna 559 och 562) för entreprenören.
Detta innebär att om ett system lätt kan orsaka systemfel vid en cyberattack, kan det anses “inte uppfylla kontraktets syfte”, och det finns en risk att användaren kommer att kräva skadestånd på grund av kontraktsbrist.
Om denna begäran godkänns beror på den säkerhetsnivå för programvaran som parterna kom överens om i förväg.
Artikel X: Efter att ha slutfört inspektionen enligt föregående artikel, om det upptäcks en inkonsekvens (inklusive buggar, hädanefter kallat “kontraktsbrist”) mellan systemspecifikationerna och det levererade arbetet, kan A begära att B utför ytterligare prestationer (hädanefter kallat “komplettering”) för att korrigera denna kontraktsbrist. B ska utföra denna komplettering. Dock, om det inte innebär en oskälig börda för A, kan B utföra kompletteringen på ett annat sätt än det som A har begärt.
2. Oavsett föregående stycke, om det är möjligt att uppnå syftet med det individuella avtalet trots kontraktsbristen, och om kompletteringen skulle kräva överdrivna kostnader, ska B inte behöva uppfylla skyldigheten att utföra kompletteringen enligt föregående stycke.
3. Om A lider skada på grund av kontraktsbristen (begränsat till de som har uppstått på grund av orsaker som kan tillskrivas B), kan A begära skadestånd från B.
Källa: Informationssystem – Modelltransaktionsavtal (andra upplagan)[ja]
Halvförtroendeavtal
I ett halvförtroendeavtal gäller inte ansvaret för kontraktsbrist eftersom det inte finns någon skyldighet att slutföra arbetet. I stället har man en skyldighet att “hantera uppdraget med omsorg som en god förvaltare” (skyldighet att utöva god omsorg).
Om ett systemfel uppstår på grund av en cyberattack, kan det faktum att man har utvecklat ett system av den kalibern, även om man inte har fastställt en säkerhetsnivå vid kontraktstidpunkten, anses vara ett “brott mot skyldigheten att utöva god omsorg” (japansk civilrätt artiklarna 656 och 644), och man kan bli föremål för en begäran om skadestånd.
Artikel X: B ska, efter att ha ingått det individuella avtalet enligt artikel X, tillhandahålla tjänster (hädanefter kallade “tjänster för att stödja skapandet av kravspecifikationer”) för att stödja A i arbetet med att skapa kravspecifikationer, baserat på informationssystemkonceptet, systemplaneringsdokumentet etc. som A har skapat som en del av detta uppdrag.
2. B ska, baserat på sin specialiserade kunskap och erfarenhet inom informationsteknik, utföra stödtjänster såsom undersökningar, analyser, organisering, förslag och rådgivning med omsorg som en god förvaltare, för att säkerställa att A:s arbete utförs smidigt och korrekt.
Källa: Informationssystem – Modelltransaktionsavtal (andra upplagan)[ja]
Systemunderhålls- och driftavtal
Ett systemunderhålls- och driftavtal är ett avtal där ett företag delegerar uppgifter relaterade till underhåll och drift av befintlig programvara till en programvaruleverantör. När ett sådant avtal ingås är det vanligt att inkludera den säkerhetsnivå som ska uppnås i kontraktet, till exempel i en specifikation av arbetsuppgifter.
Om skada uppstår till följd av ett cyberangrepp och systemets säkerhetsnivå är lägre än den nivå som överenskommits vid kontraktets ingående, kan ansvar för kontraktsbrott förföljas med hänvisning till klausuler om kontraktsickeöverensstämmelse.
Om säkerhetsnivån emellertid inte har fastställts i förväg, kan det faktum att man har underhållit och drivit ett system som är sårbart för cyberattacker anses strida mot skyldigheten att utöva god förvaltning, och ansvar kan förföljas.
Avtalet om användning av molntjänster
Avtalet om användning av molntjänster är ett avtal som ingås när man använder tjänster som en leverantör tillhandahåller i molnet. Eftersom det förväntas att leverantören kommer att erbjuda samma tjänst till ett stort antal användare, kommer du troligen att ingå ett avtal i enlighet med de användarvillkor som leverantören fastställer.
Generellt sett, i detta avtal, anges det i förväg vem som är ansvarig om tjänsten inte kan tillhandahållas på grund av en cyberattack.
I avtalet om användning av molntjänster fastställs vanligtvis följande vid kontraktstidpunkten:
- SLA (Service Level Agreement): Garanti och driftsregler för kvalitet
- Begränsningsklausul för ansvar: Omfattningen av leverantörens ansvar för kontraktsbrott vid skada
SLA är en explicitisering av användarens kravnivå och leverantörens driftsregler. Om du inte kan få den tjänst som fastställts här, kan du begära skadestånd för delvis kontraktsbrott. Dessutom kan det finnas en “begränsningsklausul för ansvar” i kontraktet, där leverantören i förväg begränsar villkoren för att ta emot krav på kontraktsbrott, och även om ansvar erkänns, begränsas skadeståndsbeloppet.
Emellertid, eftersom ansvarsbegränsningsklausulen ofta innehåller bestämmelser som är fördelaktiga för leverantören, kan den begränsas av den japanska prejudikatets rättsprinciper om det blir en tvist.
【Exempel på ansvarsbegränsningsklausul】
Artikel X: A och B kan, om de lider skada på grund av en orsak som kan tillskrivas den andra parten i samband med utförandet av detta avtal och individuella avtal, begära skadestånd från den andra parten (begränsat till XXX skada). Men denna begäran kan inte göras efter att X månader har gått sedan godkännandet av leveransen av varorna som fastställts i det individuella avtalet eller bekräftelsen av avslutningen av arbetet.
2. Det totala ackumulerade beloppet för skadestånd i samband med utförandet av detta avtal och individuella avtal, oavsett orsaken till kravet, inklusive kontraktsbrott (inklusive ansvar för icke-överensstämmande kontrakt), orättvis vinst, olagliga handlingar, etc., är begränsat till beloppet XXX som fastställts i det individuella avtalet som orsakade den ansvariga orsaken.
3. Föregående punkt ska inte gälla om skadeståndsskyldigheten baseras på uppsåt eller grov oaktsamhet från skadeståndsskyldigheten.
Citat: Informationssystem – Modelltransaktionskontrakt (andra upplagan)[ja]
Bedömningskriterier för systemleverantörens skadeståndsansvar
När en användarföretag lider skada på grund av ett cyberangrepp, under vilka specifika omständigheter kan ansvaret för systemleverantören ifrågasättas?
Nedan förklarar vi baserat på faktiska rättsfall där systemleverantörens ansvar ifrågasattes.
Har åtgärder vidtagits i enlighet med tekniska standarder vid utvecklingstiden?
I faktiska rättsfall där ansvar ifrågasätts, betonas det om systemleverantören vid utvecklingstiden genomförde säkerhetsåtgärder på en nivå som följer med varningar och manualer från myndigheter och branschorganisationer.
Det finns rättsfall där systemleverantören beordrades att betala skadestånd för skador orsakade av cyberattacker, som följande.
【Rättsfall】Tokyo District Court, 23 januari 2014 (Heisei 26)
Användare: X företag som bedriver detaljhandel och postorderförsäljning av inredningsmaterial
Leverantör: Y företag som hade tagit på sig uppdraget att designa och underhålla ett webbaserat orderhanteringssystem
En incident där 7 000 kundkreditkortinformation läckte ut på grund av ett cyberangrepp
■Dom
Systemleverantören beordrades att betala cirka 20 miljoner yen i skadestånd
Beloppet översteg utvecklingskostnaden med cirka 2 miljoner yen
X företaget erkändes också ha varit försumligt, och 30% av skadeståndet minskades på grund av detta
■Orsak
・Systemleverantören försummade sin skyldighet att genomföra säkerhetsåtgärder i enlighet med tekniska standarder vid den tiden.
・Användarföretaget, som hade fått en riskförklaring från systemleverantören men försummade att vidta åtgärder, ansågs också vara försumligt, och skadeståndet minskades med 30% på grund av detta.
2014 var “SQL-injektionsattacker” huvudmetoden för cyberattacker, och det japanska ministeriet för ekonomi, handel och industri hade publicerat ett dokument med titeln “Uppmaning till noggrann genomförande av säkerhetsåtgärder för personuppgifter baserat på den japanska lagen om skydd av personuppgifter[ja]“, där de påpekade cyberrisker och uppmanade till förstärkning av system.
Domstolen erkände systemleverantörens ansvar för att inte ha vidtagit åtgärder och beordrade skadestånd, men erkände också att användarföretaget var försumligt och minskade skadeståndet med 30%.
Har användarföretaget någon försummelse?
Användarföretaget som beställer systemutveckling har också skyldigheter, och om det finns försummelse kan de behöva ta på sig hela ansvaret.
Nedan är ett exempel på ett rättsfall där användarföretagets fulla ansvar erkändes och skadestånd beordrades, även om det inte var ett fall av cyberattack.
【Rättsfall】Asahikawa District Court, 31 augusti 2017 (Heisei 29)
Användare: Universitetssjukhus
Leverantör: Systemföretag som hade fått uppdraget att utveckla ett elektroniskt patientjournalssystem från universitetssjukhuset
Strax efter projektstarten kom det upprepade tilläggsförfrågningar från läkarna på plats.
Önskemålen slutade inte och utvecklingen försenades, och universitetssjukhuset meddelade uppsägning av kontraktet på grund av förseningen.
■Dom (överklagande)
Universitetssjukhuset beordrades att betala cirka 1,4 miljarder yen i skadestånd
Den första instansens dom, som beordrade båda parter att betala skadestånd, upphävdes
■Orsak
・Det problematiserades att sjukhuset inte lyssnade på leverantörens varningar om att om de svarade på tilläggsförfrågningarna skulle de inte hinna med deadline.
Detta rättsfall handlar om en incident där användarföretaget meddelade uppsägning av kontraktet på grund av förseningen i systemutvecklingen, och både användarföretaget och systemleverantören stämde varandra för skadestånd.
I domen erkändes att användarföretaget inte lyssnade på systemleverantörens varningar som orsaken till förseningen i utvecklingen, och användarföretaget erkändes ha 100% ansvar, och dess krav avvisades. Systemleverantören har en “projektledningsplikt” att hantera projektets framsteg så att det kan slutföras i tid. Å andra sidan har användarföretaget en “samarbetsplikt”, och om det försummar det kan det behöva ta på sig hela ansvaret, och i faktiska rättsfall bestäms skadeståndsansvaret baserat på denna andel.
Tre punkter för säker systemutveckling
För att förbereda sig för cyber risker är det viktigt att både användare och leverantörer samarbetar i att vidta åtgärder.
Nedan förklarar vi vilka åtgärder leverantörer och användare kan vidta från sina respektive positioner.
Förstå cyber risker som myndigheter och andra pekar på
Systemleverantörer bör kontrollera riktlinjer från specialiserade organisationer som Japanska ekonomiministeriet och Information-technology Promotion Agency (IPA), förstå nuvarande cyber risker och deras motåtgärder, och sedan gå vidare med utveckling och drift.
Inte bara leverantörer, utan även företag på användarsidan bör ha en viss förståelse för innehållet och begära utveckling och drift i enlighet med riktlinjerna, och inkludera klausuler om säkerhetsnivåer i kontraktet.
Referens: Japanska ekonomiministeriet | Cybersecurity Management Guidelines Ver 2.0[ja]
Referens: Information-technology Promotion Agency | Hur man skapar en säker webbplats[ja]
I synnerhet kan det i finanssektorn och liknande krävas hög säkerhet enligt lagar och riktlinjer. Vi förklarar mer detaljerat om säkerhetsåtgärder för kryptovalutor nedan.
Relaterad artikel: Vad är säkerhetsåtgärder för kryptovalutor? En förklaring med tre fall av läckage[ja]
Båda parter förstår behovet av säkerhet
I Japanska ekonomiministeriets “Cybersecurity Management Guidelines Ver 2.0[ja]” anges tydligt att “cybersäkerhetsåtgärder är en ledningsfråga”.
Snarare än att helt och hållet lämna över säkerheten till leverantören på grund av bristande förståelse, bör företaget betrakta riskhanteringen som en del av ledningen och ta ansvar för att vidta åtgärder.
Båda parter hanterar gemensamt cyberattacker
När en cyberattack inträffar bör beställaren och leverantören inte skylla på varandra, utan samarbeta för att minimera skadan.
Men i systemutveckling tenderar beställarens position att vara starkare, och systemutvecklingen drivs ofta med fokus på kostnad och leveranstid. Leverantören kanske inte ges tillräckligt med pengar eller tid, och förslag till säkerhetsåtgärder kanske inte accepteras.
Men i riktlinjerna anges att företag på användarsidan bör betrakta genomförandet av säkerhetsåtgärder inte som en “kostnad”, utan som en nödvändig investering för framtida affärsaktiviteter och tillväxt.
I systemutveckling är det viktigt att leverantören och användaren samarbetar på lika villkor för att hantera cyberattacker.
Sammanfattning: Konsultera en advokat vid utformning av systemutvecklingskontrakt
Om skada uppstår till följd av ett cyberangrepp kan leverantören som varit involverad i systemutvecklingen bli ansvarig om det framkommer att de har försummat att vidta åtgärder mot cyberrisker, och därmed bli föremål för ansvarssökande från kundföretaget.
Men det finns också ett ansvar hos kundföretaget som har försummat sin skyldighet att samarbeta med leverantören.
För att minimera skadan från cyberattacker är det nödvändigt att fastställa systemnivån och respektive ansvarsområden i kontraktet.
När du skapar kontrakt för systemutveckling, bör du rådfråga en advokat med avancerad expertkunskap som förstår innehållet i riktlinjerna och den aktuella cyberrisken.
Information om åtgärder från vår byrå
Monolith Advokatbyrå är en juridisk byrå med hög expertis inom IT, särskilt internet och lag. Vid systemutvecklingskontrakt är det nödvändigt att skapa ett kontrakt. På vår byrå skapar och granskar vi kontrakt för olika ärenden, från företag noterade på Tokyo-börsen till uppstartsföretag. Om du har problem med kontrakt, vänligen se följande artikel.
Monolith Advokatbyrås områden: Systemutvecklingsrelaterade juridiska frågor[ja]
Category: IT
Tag: CybercrimeIT