IT-безопасность: стоит ли рисковать корпорацией?
Шрифт:
g) программы реагирования, определяющие действия при неавторизованном доступе;
h) защиту от физического уничтожения или повреждения информации клиентов.
Третьим возможным основанием для привлечения к ответственности являются правовые понятия, такие, как халатность. Исходя из правовых понятий, таких, как ответственность за качество продукции или ответственность владельцев помещений, сторона может быть привлечена к ответственности на основании того, что ее продукция или помещения были использованы другой стороной для причинения вреда третьей стороне. Многие из таких правовых понятий становятся правовыми нормами (прецедентами) после того, как суды установят устойчивый характер вреда — например, причинами распространенности ответственности за качество продукции являются промышленная революция и недоброкачественно спроектированная продукция. Если из этих исторических событий будет сделан вывод, то суды начнут использовать прецедент, заключающийся в том, что
Действительно, такие дела уже ведутся в судах. Exigent (компания по разработке программного обеспечения) подала иск в Европе против немецкого университета и шведской хостинговой компании после того, как хакер взломал сеть Exigent и украл конфиденциальный исходный код, используя для этого учетную запись в немецком университете и системы Интернет-провайдера. [62] В США, техасская компания C.I. Host подала иск на компанию Exodus, серверы которой были использованы для запуска нескольких атак по типу «отказ от обслуживания» против C.I. Host. Журналист, комментирующий этот процесс, удачно подметил, какое воздействие оказало дело против Exodus на эти компании: [63]
62
Computer Security Institute, 2001 CSI/FBI Computer Crime and Security Survey at p. 7.
63
"See You In Court," CIO Magazine at p. 62 (November 1,2001).
«Юристы C.I. Host убедили судью из Техаса выдать предписание на временное ограничение, предусматривающее отключение трех веб-серверов, участвовавших в атаке, до тех пор, пока обе компании не убедятся, что уязвимые места закрыты. В этом запутанном и темном деле были стравлены не соперник с соперником, а жертва с жертвой. Хотя атаки продолжались только пару дней, чтобы закрыть это дело потребовалось семь месяцев высокооплачиваемого труда юристов, не говоря уже о затраченных времени и энергии.
Этот и другие подобные ему случаи, вероятно, будут возникать все чаще по мере того, как компании будут страдать от отключения их от пользователей и кражи информации, вызываемых «дырами» в безопасности.» [64] (курсив автора).
64
См., например, «Правила» (Guidelines), утвержденные Office of Comptroller of the Currency, at 12 CFR I, Appendix В to Part 30.
В том случае, если на компанию подан иск на основании одного или более таких прецедентов или если компания сама понесла внутренние убытки от бреши в безопасности (простои, кража интеллектуальной собственности и т. д.), то должностные лица компании или директоры могут быть привлечены к ответственности за невыполнение возложенных на них обязанностей. В соответствии с этими обязанностями перед компанией и акционерами директоры и должностные лица должны защищать имущество компании. Ученые-юристы предложили, чтобы должностные лица и директоры защищали информационные фонды компаний в той же степени, как и физическое имущество:
«Главная обязанность [по обеспечению безопасности информации] лежит на руководстве, и неспособность добросовестно выполнять эту обязанность может приводить к персональной ответственности должностных лиц и директоров. Стандартом для юридического заключения может стать «должное старание» ("due diligence"): его нужно проявлять при обеспечении безопасности компании в такой же степени, как и при покупке самой компании.» (курсив автора). — Esther Roditti, Computer Contracts, Sec. 15:03[1], стр. 15–25 (Matthew Bender, 1999).
Обязанности по защите информационных фондов закрепляются законодательно в возрастающих по количеству федеральных актах. Раздел III.А «Правил» GLBA требует от совета директоров принятия политики безопасности для их организации, а затем и: «… надзора за разработкой, осуществлением и поддержкой программы обеспечения безопасности информации банка, при этом руководство должно определять конкретные обязанности по ее осуществлению и рассматривать предоставленные менеджерами отчеты». [65]
65
См., например, «Правила» (Guidelines), утвержденные Office of Comptroller of the Currency, at 12 CFR I, Appendix В to Part 30.
В соответствии с Разделом III.F «Правил» совет директоров после первоначального утверждения должен затем ежегодно пересматривать программу обеспечения безопасности.
Хотя некоторые из финансовых учреждений попросили федеральные органы убрать
«Некоторые комментаторы заявляют, что каждое финансовое учреждение должно иметь право решать самостоятельно, в каких случаях эта программа должна утверждаться советом директоров… Другие же предлагают изменить «Правила» так, чтобы от совета директоров требовалось принятие только первоначальной программы информационной безопасности с делегированием последующих пересмотра и принятия программы комитету или одному лицу. Федеральные органы полагают, что общая программа информационной безопасности финансового учреждения очень важна для безопасности и финансовой устойчивости организаций. Исходя из этого, «Правила» в окончательном их виде продолжают возлагать ответственность за принятие и осуществление надзора за выполнением этой программы на советы директоров организаций)) (курсив автора).
Здесь уместно спросить, каким образом должностные лица и директора должны выполнять свои обязанности по защите информационных фондов. Основой этих обязанностей является принцип благоразумия (prudent man rule), который требует от должностных лиц и директоров, подобно обычному благоразумному человеку, обязанному блюсти интересы компании, действовать по обстоятельствам и таким способом, который бы наилучшим образом соответствовал интересам компании и акционеров.
Должностные лица и директоры не могут, в соответствии с принципом благоразумия, полностью делегировать обязанности по обеспечению информационной безопасности директору по информационным технологиям или отделу информационных систем. Ученые-юристы, анализировавшие обязанности должностных лиц и директоров в условиях последней большой угрозы информационным технологиям (Y2K), заявляли, что «должностные лица и директоры должны будут сделать больше, чем просто положиться на план, составленный их директорами по информационным технологиям» (Scott & Reid, The Year 2000 Computer Crisis, Sec. 6.05, на стр. 6-59). Вместо этого, как указывается в официальном комментарии к «Правилам» GLBA, руководители были обязаны утвердить программу и осуществить общий надзор за ее выполнением. Делегирование может создать ситуацию, в которой руководство будет считать, что отдел информационных систем самостоятельно примет решение по обеспечению информационной безопасности от имени компании, а отдел информационных систем будет ждать указаний от руководства. Это может вызвать «аналитический паралич» ("paralysis by analysis"), при котором политики информационной безопасности никогда не будут утверждены.
В прошлых обзорах по вопросам безопасности было показано, что руководство может предпринимать действия по уменьшению риска от бреши в системе безопасности. В соответствии с обзором «2000 Security Industry Survey» журнала Information Security компании, имеющие политики информационной безопасности, с большей вероятностью могут обнаруживать атаки и реагировать на них: примерно 66 процентов компаний, имеющих политики, смогли обнаружить атаки и отреагировать на них, но без таких политик это смог сделать только 21 процент компаний. Обзор того же журнала «2001 Security Industry Survey» показал, что главным препятствием для улучшения информационной безопасности являются «бюджетные затруднения» (в первую очередь связанные с «недостаточным обучением/подготовленностью конечного пользователя»). [66] Обе эти проблемы традиционно относят к обязанностям руководства. Для акционеров, правительственных органов или частных сторон судебного процесса проблема, заключающаяся в наличии в компании утвержденных надлежащих мер безопасности, будет решена уравновешенным мнением суда. [67]
66
"2001 Security Industry Survey" Information Security magazine, at p. 44 (October 2001).
67
См. "Interagency Guidelines Establishing Standards for Safeguarding Customer Information and Rescission of Year 2000 Standards for Safety and Soundness", Part III, опубликовано в Federal Register, Vol. 66, No. 22, February 1, 2001, at p. 8620.
Деловые инициативы и корпоративные цели
Из обзора Дэна Лэнджина в предыдущем разделе становится ясным, что против компании, неспособной обеспечить безопасность, могут быть предприняты меры правового воздействия. Но даже когда над головой нависает угроза судебного преследования, безопасность часто откладывается на более позднее время — после того, как сеть будет установлена, после того, как будет создана база данных, после того, как будет разработано программное обеспечение, после того, как серьезная атака нанесет ущерб. И после того, как защита не сработает, основные препятствия для создания защиты обычно связывают с ролью руководства, не обеспечившего, например, должного финансирования, обучения и разработки политик.