IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
1. Почему системы компании Fortune 500 оставались незащищенными и бесконтрольными, вследствие чего их можно было бы использовать для атаки против канадской плотины?
2. Почему канадская плотина была подключена к Интернету так, что взломщик мог бы, в конце концов, получить неавторизованный доступ к ее системе управления сливом?
3. Кто должен был бы понести ответственность за возможные последствия?
4. Являетесь ли вы членом правления или руководителем высшего уровня компании Fortune 500?
5. Понимает ли ваша команда юристов, что такое безопасность?
Сегодня незащищенные системы повсюду используются для атак на любые цели. Вашей обязанностью как руководителя является не допустить, чтобы эти системы оказались вашими. Также нельзя допускать атак, исходящих из сети партнера, которые могут быть приписаны вам. Убедитесь, что у вас имеются все надлежащие средства безопасности для обнаружения атаки и защиты сети. Директоры и должностные лица по закону должны охранять информационные фонды корпораций. В случае, если нарушение безопасности
В следующем разделе главы Дэн Дж. Лэнджин, юрист из Канзаса, обсуждает реальные правовые действия, связанные с ответственностью руководителей и нарушениями в обеспечении безопасности сетей.
Юридические обязанности по защите информации и сетей
Хотя гипотетическая ситуация с канадской плотиной покажется вам довольно необычной, возможность поиска виновных может оказаться не столь притянутой за уши. Когда вред личности причинен неустановленными третьими лицами (или неподсудными, например, неплатежеспособными лицами), то суд распространяет ответственность на другого, более платежеспособного, ответчика, чьи действия или бездействие сделали возможным причинение вреда потерпевшему этими третьими лицами с использованием имущества, принадлежащего ответчику. Первыми подобными случаями в судебной практике являются дела в отношении владельцев помещений. В этих случаях жертвы ограблений, хулиганства и других преступлений, совершенных в мотелях, квартирах или универмагах, подали иски на владельцев и менеджеров этих помещений за то, что они не обеспечили должную безопасность или не предупредили потерпевших о рисках, которым они подвергались, входя в эти помещения. В этих судебных процессах истцы преследуют представителей делового мира, чьи карманы значительно глубже и которых легче найти, чем преступника, совершившего преступление в отношении истцов. Общим аргументом на таких процессах для подтверждения судебной ответственности предпринимателей являлось то, что они были обязаны предотвратить причинение истцу вреда, так как присутствие преступников (и возможного вреда для потерпевшего) было предсказуемым.
Приведенные ниже примеры (процессы Exigent и С. I. Host) показывают, что истцы уже возбуждали иски против третьих сторон, чьи сети, после того как были скомпрометированы, были использованы для запуска атак против потерпевших. К сожалению, в сложившейся после 11 сентября ситуации вопрос «предсказуемости» приобрел новый смысл. В статье в New York Law Journal приводится большой перечень юридических лиц, против которых потерпевшие могут возбуждать иски, связанные с атаками террористов 11 сентября, при условии, если они отказались от своих прав на возмещение ущерба из Фонда компенсации жертвам 11 сентября 2001 года (September 11th Victim Compensation Fund of 2001): [57]
57
Kreindler, "Pros and Cons of Victims Funds", New York Law Journal, November 28,2001.
«Возможными ответчиками являются American Airlines и United Airlines и различные компании и организации, которые участвовали в обеспечении безопасности угнанных самолетов, компании Argenbright, Globe Aviation Services, Huntleigh USA Corp., Massport, администрация портов New York и New Jersey (которые приказали некоторым из сотрудников башен-близнецов вернуться за свои рабочие столы), администрация аэропортов New Jersey и Metropolitan Washington и правительство США за действия службы управления воздушным движением)».
Как замечает автор данной статьи, даже в создаваемых законом о фонде компенсации условиях неопределенности исхода процесса для истца при преследовании этих ответчиков, на время написания статьи был уже возбужден, по меньшей мере, один процесс против United Airlines. [58]
С позиции предсказуемости атаки хакеров (количество которых увеличивается с каждым годом) «дыры» в информационной безопасности могут вызывать для корпораций серьезные правовые проблемы, касающиеся претензий к третьей стороне, в результате действия или бездействия которой к ответственности могут быть привлечены директор или другое должностное лицо. Иски к третьей стороне могут подаваться на основании нарушений условий контрактов, нарушений законодательных актов, предписывающих принятие мер по защите информации, или на основании правовых понятий, таких, как халатность. Взыскание в полном объеме убытков по таким искам с третьей стороны (или прямых убытков имуществу компаний, если иски к третьей стороне не будут удовлетворены) может приводить к искам против должностных лиц и директоров компаний за невыполнение своих обязанностей, доверенных им корпорацией или акционерами.
58
Дело Mariani против United Airlines, Inc., зарегистрировано в окружном суде США по южному округу Нью-Йорка. — Прим. автора.
Процессы, возбуждаемые из-за нарушений условий контракта, вероятнее всего, будут опираться на пункты контрактов, предусматривающие соблюдение конфиденциальности
Хотя такие пункты контрактов были изобретены еще в дни, когда конфиденциальная информация передавалась в бумажном виде и хранилась в запертых шкафах, они важны и для наших дней, когда все больше конфиденциальной информации предается и хранится в электронном виде. В условиях, когда электронный «взлом» может быть сделан более скрытно и требовать меньше усилий, чем взлом физический, сегодня записи с конфиденциальной информацией подвергаются большему риску, чем в прошлом.
Другими обстоятельствами, при которых нарушение безопасности может быть причиной привлечения к ответственности за нарушение условий контракта, могут быть ситуации предоставления услуг хостинга, или совместного размещения информации. При этом контракт с компанией, предоставляющей хостинг, предусматривает обеспечение определенного уровня безопасности (даже если он назван «приемлемым уровнем безопасности»). Такие пункты контракта встречаются все чаще, так как хостинговые компании пытаются выделить себя на рынке, предлагая заключить соглашение об уровне услуг, то есть о предоставлении «безопасного хостинга».
Второе вероятное основание для привлечения к ответственности создают многочисленные новые федеральные акты, требующие от компаний обеспечивать приемлемые меры безопасности для существенной конфиденциальной информации, как, например, в области здравоохранения и финансовых услуг. Акт о пересылке и учете информации страхования здоровья HIPAA (Health Insurance Portability and Accountability Act), Акт Грэмма-Лича-Блайли GLBA (Gramm-Leach-Bliley Act) и другие федеральные акты требуют от компаний применять усиленные меры защиты существенной конфиденциальной информации. Правила безопасности (Security Regulations) в HIPAA требуют от всех участвующих сторон (провайдеров медицинских услуг - Health Care Providers, планировщиков страхования здоровья — Health Plans и посредников в области здравоохранения-Health Care Clearinghouses) обеспечивать безопасность закрытой информации о состоянии здоровья (названной Protected Health Information, или PHI) внедрением у себя «четырехугольной» модели безопасности ("four-corner" security model). Эта модель включает административные меры безопасности, физические меры безопасности, технические сервисы безопасности и технические механизмы безопасности. [59] Акт GLBA касается финансовой информации клиентов, получаемой финансовыми учреждениями и хранящейся ими (как, например, банками, сберегательными и кредитными организациями). Акт GLBA и вводимые им правила («Межведомственные правила, устанавливающие стандарты по охране информации о потребителях» — "Interagency Guidelines Establishing Standards for Safeguarding Customer Information, или просто «Правила» — "Guidelines") содержат стандарты по мерам безопасности, названные «мерами безопасности для финансовых учреждений» ("financial institution safeguards"). [60] Раздел III.С.1 «Правил» устанавливает, что учреждения, на которые правила распространяются, должны предусматривать следующие меры безопасности для финансовой информации клиентов:
59
42 CFR 142.306 (Свод федеральных актов США. — Примеч. пер.)
60
Опубликовано в Federal Register, Vol. 66, No. 22, February 1,2001, pp. 8616–8641.
a) контроль доступа к системам с информацией клиентов;
b) ограничение доступа к местам физического размещения информации клиентов;
c) шифрование электронной информации клиентов;
d) процедуры, обеспечивающие отсутствие влияния модификации систем на безопасность;
e) процедуры двойного контроля, разделение обязанностей и личные проверки персонала; [61]
f) системы обнаружения реальных атак на системы с информацией клиентов или их взлома;
61
Employee background checks — проверки «лояльности» сотрудников. — Примеч. пер.