Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 3 данного свода знаний описываются основные регуляторные нормы и принципы международного права, которые имеют отношение к кибербезопасности и могут применяться при оценке киберрисков, управлении ИБ, расследовании киберинцидентов. Сегодня – шестая часть обзора Главы 3 CyBOK, в которой описываются правонарушения, рассматриваемые при оценке рисков привлечения к ответственности за причинение вреда в сфере кибербезопасности.
Руслан Рахметов, Security Vision
Предыдущие главы и части:
Глава 3 часть 1, часть 2, часть 3, часть 4, часть5
3.7. Гражданское правонарушение (деликт)
Деликт - это любое гражданское правонарушение, за исключением нарушения контракта, а деликтная ответственность подразумевает гражданско-правовую ответственность за причинение вреда. В отличие от ответственности за невыполнение условий контракта, ответственность за гражданское правонарушение (деликт) не обязательно основывается на осознанных и добровольных отношениях между лицом, совершающим гражданское правонарушение («правонарушитель», англ. tortfeasor), и лицом, которое пострадало от этого деликта («потерпевший»). В данном разделе авторы CyBOK описывают некоторые распространенные деликтные доктрины, которые нужно учитывать специалистам по кибербезопасности.
3.7.1. Халатность
В большинстве юридических систем заложена концепция общественной ответственности лиц при выполнении определенных действий. Если гражданин не выполняет свои обязанности и это наносит ущерб потерпевшему, он имеет право подать судебный иск против правонарушителя для финансового возмещения.
3.7.1.1. Границы должной внимательности
Юридические системы косвенно признают, что человек не всегда отвечает перед всеми, а некоторые ограничения в объеме ответственности - это нормально. Например, в британской судеб��ой системе считается, что Алиса может нести ответственность за отсутствие должной внимательности перед Бобом в случае выполнения трёх условий:
· Алиса и Боб каким-то образом взаимодействуют между собой во времени и пространстве;
· Алиса может предвидеть, что её действие или бездействие может причинить ущерб Бобу;
· С учетом действия или бездействия Алисы, её ответственность перед Бобом может заранее считаться логичной и разумной.
Предсказуемость причинения ущерба часто используется в качестве механизма для ограничения объема ответственности при рассмотрении случаев халатности и обычно оценивается с учетом того, мог ли человек предвидеть ущерб. При этом правонарушитель не освобождается от ответственности по причине отсутствия способности оценить последствия своих поступков, отсутствия планов совершить правонарушение или отсутствия возможности спрогнозировать ущерб для потенциальных жертв. Концепция «должной внимательности» не зависит от наличия коммерческих или контрактных взаимоотношений между правонарушителем и потерпевшим - например, автомобилисты должны соблюдать должную внимательность к другим водителям, мотоциклистам, велосипедистам, пешеходам. Аналогично, производители некоммерческого ПО, например, поставщики Open Source решений, также должны соблюдать должную внимательность к пользователям, которые предсказуемо полагаются на корректную работу данного ПО.
В контексте кибербезопасности последствия ошибок становятся всё бол��е прогнозируемыми, и при рассмотрении подобных дел суды всё чаще рассматривают ущерб для всё больших групп жертв. Например:
· Магазин, принимающий для оплаты банковские карты, несет ответственность за отсутствие должной внимательности при обработке платежных данных терминалом перед владельцем карты, банком-эмитентом, банком-эквайером;
· Провайдер сервиса электронной почты при обеспечении ИБ почтовых серверов несет ответственность за отсутствие должной внимательности перед своими пользователями и получателями почты от этого провайдера;
· Коммерческая компания, обеспечивающая кибербезопасность своей IT и OT инфраструктуры, несет ответственность за отсутствие должной внимательности перед своими сотрудниками, контрагентами и поставщиками, а также перед любыми третьими лицами, которые могут быть атакованы с использованием скомпрометированной инфраструктуры этой компании;
· Разработчик ПО для веб-серверов при реализации криптографической защиты протоколов сетевого взаимодействия несет ответственность за отсутствие должной внимательности перед теми, кто будет пользоваться этим ПО (например, перед посетителями интернет-магазинов, владельцами сайтов и облачными провайдерами, которые используют данное ПО);
· Центр сертификации при генерации ключей шифрования и сертификатов несет ответственность за отсутствие должной внимательности перед покупателями (пользователями) выданных сертификатов и компаниями, которые полагаются на надежность выданных сертификатов и на криптостойкость ключей;
· Разработчик веб-браузера при выборе корневых сертификатов, встраиваемых в браузер, несет ответственность за отсутствие должной внимательности перед всеми людьми, которые используют данный браузер.
3.7.1.2. Нарушение обязательств: оценка обоснованности и разумности поведения
Если Алиса несет ответственность за отсутствие должной внимательности перед Бобом при ведении определенной деятельности, то в какой момент Алиса становится правонарушителем (ведёт себя необоснованно и неразумно, т.е. проявляет халатность)? Как правило, для ответа на этот вопрос действия Алисы оцениваются с точки зрения того, было ли её поведение объективно обоснова��ным и разумным. Оценить обоснованность и разумность поведения или решения можно с помощью оценки затрат и выгод (cost-benefit test): если стоимость реализации мер предосторожности меньше, чем произведение вероятности ущерба от их отсутствия и размера возможного ущерба, то обоснованным и разумным решением будет предпринять эти меры предосторожности.
Понятие разумного и обоснованного поведения можно использовать и при оценке действия или бездействия в части кибербезопасности - потерпевший может обвинить правонарушителя в неразумном и необоснованном поведении (халатности) при нарушении законодательства или при невыполнении требований технических стандартов. Например, если Алиса получила несанкционированный доступ к компьютеру Боба и причинила ему ущерб, то Боб может заявить, что Алиса проявила халатность, а принятие и распространение различных стандартов по ИБ может помочь обосновать данную позицию в суде. Кроме того, суд может учитывать и очевидные доказательства халатности - например, когда разработчик, создавший ВПО для исследовательских целей, допускает распространение полученного вируса.
3.7.1.3. Интерпретация «вины» меняется со временем и зависит от юрисдикции
Понятия халатности и разумного и обоснованного поведения применяются по-разному в различных странах и зависят от социума, а также меняются со временем и с развитием технологий. Так, действия в киберпространстве становятся всё более потенциально опасными, а ошибки в киберзащите становятся всё более предсказуемыми, лучше понимаемыми и точнее доказываемыми с развитием практик компьютерной криминалистики.
3.7.2. Строгая ответственность за продукты с дефектами
Во второй половине 20 века страны с развитой индустриальной экономикой разработали правила в отношении строгой ответственности за дефектную продукцию, при этом имеются ввиду дефекты архитектуры и дизайна продукта, а не дефекты конкретной реализации, которые могут зависеть от сбоев на производстве. Пострадавшим от дефектной продукции, т.е. получившим ущерб здоровью или собственности, предоставлено право на компенсацию ущерба и юридические действия в отношении нарушителя, если его продукт не является безопасным, как того можно ожидать в определенных обстоятельствах. При этом дефект в ПО или прошивке может стать причиной небезопасной работы устройства (например, киберфизической системы - носимой электроники, автомобиля, элементов «умного дома»), поэтому указанные нормы защиты пользователя устройства также могут применяться.
3.7.3. Ограничение сферы ответственности
Если потерпевший сможет доказать причинно-следственную связь между своим ущербом и действиями предполагаемого правонарушителя, то сможет предпринимать юридические действия в отношении него. При этом люди могут вести себя халатно, безответственно и неразумно, но если такое поведение никому не причиняет вреда, то и юридическая ответственность не наступает. Нарушитель сможет избежать ответственности, если ему удастся доказать, что ущерб были причинён независимо от его действий (т.е. фактическая причинно-следственная связь между действиями и ущербом не пр��слеживается). Трудности возникают в случае, когда нет прямой связи между действиями предполагаемого правонарушителя и ущербом потерпевшего - например, когда между первичным действием и конечным ущербом лежит несколько промежуточных звеньев, т.е. ряд последствий (результатов) исходного действия нарушителя.
В кибербезопасности бывает достаточно сложно доказать прямую причинно-следственную связь между киберинцидентом и причинённым им ущербом. Например, в случае утечки данных гражданину будет сложно доказать, что его персональные данные, которые затем использовали мошенники для причинения ущерба гражданину, были ими получены именно из этой утечки, а не из какого-то другого источника. Требования об уведомлении граждан об утечках их данных могут помочь людям защитить свои права, но даже в этом случае потерпевшему всё равно придётся доказать наличие прямой причинно-следственной связи между утечкой и последовавшим мошенничеством с использованием данных из этой утечки. При этом доказать финансовый ущерб по причине утечки данных платежных карт может быть проще, поскольку утечка данных платежной карты и попытка несанкционированного списания денежных средств с неё следуют друг за другом и обычно близки по времени.
3.7.4. Объем ответственности
При рассмотрении гражданских правонарушений следует учитывать и объем ответственности: в различных странах действуют свои подходы для определения того, что именно составляет юридически определяемый вред, причиненный потерпевшему, который должен будет доказать справедливость финансовой оценки своего ущерба от действий правонарушителя. Например, в случае причинения вреда здоровью финансовая оценка ущерба может включать в себя оценку зарплаты, недополученной за время временной нетрудоспособности, а также затраты жертвы на лечение и реабилитацию, стоимость больничного ухода и необходимого медицинского оборудования и т.д. Кроме того, в некоторых странах гражданин может потребовать компенсацию и за перенесенные страдания, боль, стресс, моральный ущерб и т.д. В случае киберинцидента потерпевший может потребовать компенсацию не только в случае ущерба здоровью и частной собственности, но и за свои экономические убытки.
Доказать юридически значимый ущерб может быть сложно для потерпевших - например, в случае нарушения приватности (конфиденциальности личных данных) оценить причиненный гражданину финансовый ущерб будет достаточно сложно, только если утечка данных напрямую не затронула его экономические или бизнес-интересы. Например, в случае, если банк компенсировал клиенту денежные средства, украденные в результате утечки платежных данных, а также бесплатно перевыпустил карту, то пострадавшему от такой утечки будет сложно доказать наличие каких-либо ещё понесенных убытков. Кроме того, в определенных странах потерпевший может потребовать фиксированное финансовое возмещение за определенный тип ущерба даже без расчета понесенных убытков. В некоторых штатах США суды применяют механизм «штрафных» или «образцовых» убытков (англ. punitive / exemplary damages), при котором с правонарушителя взыскивается компенсация в несоизмеримо большем объеме, чем ��онесенный потерпевшими убыток - такая практика применяется для наказания нарушителей, которые неоднократно проявляли халатность или принимали решения без учета их потенциально негативного влияния на благополучие или здоровье граждан.
3.7.5. Атрибутирование, распределение и уменьшение ответственности за гражданские правонарушения
3.7.5.1. Субсидиарная ответственность
В некоторых случаях ответственность правонарушителя может быть возложена на другое лицо - в этом случае работает механизм субсидиарной ответственности. Например, гражданско-правовая ответственность за действия работника может быть возложена на работодателя, при этом доводы работодателя о принятии мер предосторожности, обучении работника, применении процедур проверки кандидатов при найме или применении строгих трудовых стандартов, как правило, не принимаются в расчёт судом.
3.7.5.2. Солидарная ответственность
Если потерпевшему причинили ущерб сразу несколько правонарушителей, то по решению суда они будут нести солидарную ответственность, т.е. каждый из нарушителей будет обязан компенсировать потерпевшему 100% ущерба. При этом выплативший компенсацию правонарушитель может потребовать компенсацию от других правонарушителей, вместе с которыми он несет солидарную ответственность, однако в случае банкротства компаний или их нахождения в разных странах подобная задача может не иметь эффективного решения. Данную особенность следует учитывать при выборе партнеров, подрядчиков и поставщиков, особенно если это небольшие компании или они находятся в зарубежных юрисдикциях.
3.7.5.3. Утвердительная защита
Правонарушители зачастую используют механизм утвердительной защиты, в котором они признают свою ошибку, но заявляют, что к ущербу привели также действия и самого потерпевшего - это называется «взаимная халатность» или «сравнительная ошибка». Такой подход позволяет правонарушителю снизить уровень своей ответственности или даже полностью её избежать. В кибербезопасности может использоваться также такой механизм утвердительной защиты, как «согласие» или «допущение риска», в котором правонарушитель доказывает, что потерпевший заранее знал о рисках и осознавал вероятные негативные последствия. Такой механизм может быть использован при оказании ИБ-сервисов, которые потенциально могут нанести вред клиентам - например, в договоре на проведение тестирования на проникновение может быть прописано подобное допущение риска заказчиком. Во многих странах в суде разрешено ссылаться на уровень развития технологий, который на момент появления дефектов или ошибок в ПО не позволял разработчику их предвидеть или устранить. Кроме того, в суде можно сослаться на то, что дефект, ошибка или уязвимость в ПО были вызваны необходимостью выполнения требований законодательства, которые повлияли на архитектуру, дизайн, реализацию продукта (например, если разработчик был вынужден использовать слабые алгоритмы шифрования или был вынужден добавить функционал сбора пользовательских данных).
3.7.6. Коллизии в законодательстве при рассмотрении гражданских правонарушений
При судебном рассмотрении гражданских правонарушений, которые затрагивают различные юрисдикции, суд принимает решение о том, законы какой страны будут применяться. Например, в ЕС правила выбора норм прописаны в законе "Rome II" (Регламент 864/2007), а в США каждый штат принимает свои правила выбора норм. Как правило, суды руководствуются одним из двух принципов: либо применяется законодательство по месту совершения правонарушения, либо применяется законодательство по месту понесения убытков. В судах ЕС могут применяться законы той страны, в которой был причинён ущерб, либо в которой проживает потерпевший, либо в которой был приобретен дефектный продукт.
