IT-безопасность: стоит ли рисковать корпорацией? - [69]

Хотя гипотетическая ситуация с канадской плотиной покажется вам довольно необычной, возможность поиска виновных может оказаться не столь притянутой за уши. Когда вред личности причинен неустановленными третьими лицами (или неподсудными, например, неплатежеспособными лицами), то суд распространяет ответственность на другого, более платежеспособного, ответчика, чьи действия или бездействие сделали возможным причинение вреда потерпевшему этими третьими лицами с использованием имущества, принадлежащего ответчику. Первыми подобными случаями в судебной практике являются дела в отношении владельцев помещений. В этих случаях жертвы ограблений, хулиганства и других преступлений, совершенных в мотелях, квартирах или универмагах, подали иски на владельцев и менеджеров этих помещений за то, что они не обеспечили должную безопасность или не предупредили потерпевших о рисках, которым они подвергались, входя в эти помещения. В этих судебных процессах истцы преследуют представителей делового мира, чьи карманы значительно глубже и которых легче найти, чем преступника, совершившего преступление в отношении истцов. Общим аргументом на таких процессах для подтверждения судебной ответственности предпринимателей являлось то, что они были обязаны предотвратить причинение истцу вреда, так как присутствие преступников (и возможного вреда для потерпевшего) было предсказуемым.

Приведенные ниже примеры (процессы Exigent и С. I. Host) показывают, что истцы уже возбуждали иски против третьих сторон, чьи сети, после того как были скомпрометированы, были использованы для запуска атак против потерпевших. К сожалению, в сложившейся после 11 сентября ситуации вопрос «предсказуемости» приобрел новый смысл. В статье в New York Law Journal приводится большой перечень юридических лиц, против которых потерпевшие могут возбуждать иски, связанные с атаками террористов 11 сентября, при условии, если они отказались от своих прав на возмещение ущерба из Фонда компенсации жертвам 11 сентября 2001 года (September 11th Victim Compensation Fund of 2001):[57]

Как замечает автор данной статьи, даже в создаваемых законом о фонде компенсации условиях неопределенности исхода процесса для истца при преследовании этих ответчиков, на время написания статьи был уже возбужден, по меньшей мере, один процесс против United Airlines.[58]

С позиции предсказуемости атаки хакеров (количество которых увеличивается с каждым годом) «дыры» в информационной безопасности могут вызывать для корпораций серьезные правовые проблемы, касающиеся претензий к третьей стороне, в результате действия или бездействия которой к ответственности могут быть привлечены директор или другое должностное лицо. Иски к третьей стороне могут подаваться на основании нарушений условий контрактов, нарушений законодательных актов, предписывающих принятие мер по защите информации, или на основании правовых понятий, таких, как халатность. Взыскание в полном объеме убытков по таким искам с третьей стороны (или прямых убытков имуществу компаний, если иски к третьей стороне не будут удовлетворены) может приводить к искам против должностных лиц и директоров компаний за невыполнение своих обязанностей, доверенных им корпорацией или акционерами.

Процессы, возбуждаемые из-за нарушений условий контракта, вероятнее всего, будут опираться на пункты контрактов, предусматривающие соблюдение конфиденциальности и обеспечение безопасности информации, которую компания получает от другой стороны, то есть клиента, поставщика или партнера по бизнесу. В действительности, все соглашения по оказанию услуг, поставок программного обеспечения, экономическому объединению, совместным предприятиям и по неразглашению информации содержат пункты, касающиеся соблюдения конфиденциальности. Эти пункты требуют от каждой стороны защищать совместно используемую информацию и оговаривают, что в случае несоблюдения этого условия одной из сторон другая сторона освобождается от ответственности за убытки, причиненные таким нарушением договора. Если неразборчивая в средствах третья сторона получит доступ к конфиденциальной информации другой стороны, переданной стороне-получателю, то сторона-получатель, хранящая информацию в электронном виде и не обеспечившая ее должную защиту, несет за это ответственность. Например, если компания А передает секретную формулу или проект компании В по соглашению о совместном предприятии, в котором содержится пункт о конфиденциальности, то компания В несет ответственность перед компанией А в случае, если третья сторона взломает сеть компании В и обнаружит (или украдет) секретную формулу или проект компании А.