IT-безопасность: стоит ли рисковать корпорацией? - [70]

Хотя такие пункты контрактов были изобретены еще в дни, когда конфиденциальная информация передавалась в бумажном виде и хранилась в запертых шкафах, они важны и для наших дней, когда все больше конфиденциальной информации предается и хранится в электронном виде. В условиях, когда электронный «взлом» может быть сделан более скрытно и требовать меньше усилий, чем взлом физический, сегодня записи с конфиденциальной информацией подвергаются большему риску, чем в прошлом.

Другими обстоятельствами, при которых нарушение безопасности может быть причиной привлечения к ответственности за нарушение условий контракта, могут быть ситуации предоставления услуг хостинга, или совместного размещения информации. При этом контракт с компанией, предоставляющей хостинг, предусматривает обеспечение определенного уровня безопасности (даже если он назван «приемлемым уровнем безопасности»). Такие пункты контракта встречаются все чаще, так как хостинговые компании пытаются выделить себя на рынке, предлагая заключить соглашение об уровне услуг, то есть о предоставлении «безопасного хостинга».

Второе вероятное основание для привлечения к ответственности создают многочисленные новые федеральные акты, требующие от компаний обеспечивать приемлемые меры безопасности для существенной конфиденциальной информации, как, например, в области здравоохранения и финансовых услуг. Акт о пересылке и учете информации страхования здоровья HIPAA (Health Insurance Portability and Accountability Act), Акт Грэмма-Лича-Блайли GLBA (Gramm-Leach-Bliley Act) и другие федеральные акты требуют от компаний применять усиленные меры защиты существенной конфиденциальной информации. Правила безопасности (Security Regulations) в HIPAA требуют от всех участвующих сторон (провайдеров медицинских услуг - Health Care Providers, планировщиков страхования здоровья — Health Plans и посредников в области здравоохранения-Health Care Clearinghouses) обеспечивать безопасность закрытой информации о состоянии здоровья (названной Protected Health Information, или PHI) внедрением у себя «четырехугольной» модели безопасности ("four-corner" security model). Эта модель включает административные меры безопасности, физические меры безопасности, технические сервисы безопасности и технические механизмы безопасности.[59] Акт GLBA касается финансовой информации клиентов, получаемой финансовыми учреждениями и хранящейся ими (как, например, банками, сберегательными и кредитными организациями). Акт GLBA и вводимые им правила («Межведомственные правила, устанавливающие стандарты по охране информации о потребителях» — "Interagency Guidelines Establishing Standards for Safeguarding Customer Information, или просто «Правила» — "Guidelines") содержат стандарты по мерам безопасности, названные «мерами безопасности для финансовых учреждений» ("financial institution safeguards").[60] Раздел III.С.1 «Правил» устанавливает, что учреждения, на которые правила распространяются, должны предусматривать следующие меры безопасности для финансовой информации клиентов:

a) контроль доступа к системам с информацией клиентов;

b) ограничение доступа к местам физического размещения информации клиентов;

c) шифрование электронной информации клиентов;

d) процедуры, обеспечивающие отсутствие влияния модификации систем на безопасность;

e) процедуры двойного контроля, разделение обязанностей и личные проверки персонала;[61]

f) системы обнаружения реальных атак на системы с информацией клиентов или их взлома;

g) программы реагирования, определяющие действия при неавторизованном доступе;

h) защиту от физического уничтожения или повреждения информации клиентов.

Третьим возможным основанием для привлечения к ответственности являются правовые понятия, такие, как халатность. Исходя из правовых понятий, таких, как ответственность за качество продукции или ответственность владельцев помещений, сторона может быть привлечена к ответственности на основании того, что ее продукция или помещения были использованы другой стороной для причинения вреда третьей стороне. Многие из таких правовых понятий становятся правовыми нормами (прецедентами) после того, как суды установят устойчивый характер вреда — например, причинами распространенности ответственности за качество продукции являются промышленная революция и недоброкачественно спроектированная продукция. Если из этих исторических событий будет сделан вывод, то суды начнут использовать прецедент, заключающийся в том, что сторона может быть привлечена к ответственности за вред, причиненный системам другой стороны вследствие неспособности первой стороны поддерживать надлежащую безопасность информации.

Действительно, такие дела уже ведутся в судах. Exigent (компания по разработке программного обеспечения) подала иск в Европе против немецкого университета и шведской хостинговой компании после того, как хакер взломал сеть Exigent и украл конфиденциальный исходный код, используя для этого учетную запись в немецком университете и системы Интернет-провайдера.[62] В США, техасская компания C.I. Host подала иск на компанию Exodus, серверы которой были использованы для запуска нескольких атак по типу «отказ от обслуживания» против C.I. Host. Журналист, комментирующий этот процесс, удачно подметил, какое воздействие оказало дело против Exodus на эти компании: