Взыскать ущерб от кибератаки: три судебных дела и выводы из них

[Shaman_RSHU]

1. По результатам первого дела (Безответственность подрядчика создала почву для кибератаки) можно сделать вывод, что не стоит тратить время на внесением в договора подрядчиков требований ИБ? Не нужно такие вещи вносить в ТЗ на работы? И как я понял, не был проведен анализ, на каком уровне были выполнены требования ИБ - просто основывались на том, что инцидент произошел. Таким образом, с коммерческой точки зрения, не стоит тратить усилия на реализацию требований безопасности, т.к. если произойдет инцидент, то "козлами отпущения" всё равно сделают. Интересно, тот кто принимал работу, тоже не задумывался о безопасности (пусть и только на выходные)?

2. Пр второму делу (Сайт упал, клиенты ушли) интересная ситуация - услуги КБ за отдельный прайс. Не купил их - автоматически отказался? Непонятно, почему суд зачёл за отказ не заключение дополнительных услуг. А вообще тут почти всегда будет решение в сторону провайдера - когда включают "белые списки" много у кого упущенная выгода, поэтому тут судам нужно иметь чёткую позицию.

3. По третьему делу совсем беспредел. Услуги по обеспечению ИБ и их перечень зафиксирован. Услуги не оказаны должным образом, но работа то проводилась, а насколько качественно - не важно.

[ilya_bashkirov]

Спасибо за коммент! Мои мысли:
1. Вот что думаю по этому поводу: действия поставщика в данном случае - это не то, что обычно прописывают в требованиях по кибербезу и проверках устойчивости инфраструктуры подрядчика. Тут заказчик намеренно и халатно отнесся к ИБ, сделав не обязательное для выполнения услуг действие - сброс паролей и смену прав учёток. Делал он их в своем предпринимательском риске, стремясь упростить работу. Так что понятно, почему решение такое, даже без серьезных ИБ-метрик в договоре
2. Про белые списки +, а по поводу услуг ИБ и распределения риска укажу в п. 3
3. А я, наоборот, согласен. Проверили перечень оказанных услуг и их общее качество - ок. Потом смотрим на то, что кибератака - это заведомо действие по преодолению систем безопасности. Поэтому пропуск атаки нельзя считать доказательством недобросовестности. Иначе будет объективное вменение, что нехорошо. Плюс суды рассматривают кибератаки, как нормальный деловой риск, который стороны должны распределять в договорах или нести совместно.