IT-безопасность: стоит ли рисковать корпорацией? - Линда Маккарти

Хотя такие пункты контрактов были изобретены еще в дни, когда конфиденциальная информация передавалась в бумажном виде и хранилась в запертых шкафах, они важны и для наших дней, когда все больше конфиденциальной информации предается и хранится в электронном виде. В условиях, когда электронный «взлом» может быть сделан более скрытно и требовать меньше усилий, чем взлом физический, сегодня записи с конфиденциальной информацией подвергаются большему риску, чем в прошлом.

Другими обстоятельствами, при которых нарушение безопасности может быть причиной привлечения к ответственности за нарушение условий контракта, могут быть ситуации предоставления услуг хостинга, или совместного размещения информации. При этом контракт с компанией, предоставляющей хостинг, предусматривает обеспечение определенного уровня безопасности (даже если он назван «приемлемым уровнем безопасности»). Такие пункты контракта встречаются все чаще, так как хостинговые компании пытаются выделить себя на рынке, предлагая заключить соглашение об уровне услуг, то есть о предоставлении «безопасного хостинга».

Второе вероятное основание для привлечения к ответственности создают многочисленные новые федеральные акты, требующие от компаний обеспечивать приемлемые меры безопасности для существенной конфиденциальной информации, как, например, в области здравоохранения и финансовых услуг. Акт о пересылке и учете информации страхования здоровья HIPAA (Health Insurance Portability and Accountability Act), Акт Грэмма-Лича-Блайли GLBA (Gramm-Leach-Bliley Act) и другие федеральные акты требуют от компаний применять усиленные меры защиты существенной конфиденциальной информации. Правила безопасности (Security Regulations) в HIPAA требуют от всех участвующих сторон (провайдеров медицинских услуг - Health Care Providers, планировщиков страхования здоровья — Health Plans и посредников в области здравоохранения-Health Care Clearinghouses) обеспечивать безопасность закрытой информации о состоянии здоровья (названной Protected Health Information, или PHI) внедрением у себя «четырехугольной» модели безопасности ("four-corner" security model). Эта модель включает административные меры безопасности, физические меры безопасности, технические сервисы безопасности и технические механизмы безопасности.[59] Акт GLBA касается финансовой информации клиентов, получаемой финансовыми учреждениями и хранящейся ими (как, например, банками, сберегательными и кредитными организациями). Акт GLBA и вводимые им правила («Межведомственные правила, устанавливающие стандарты по охране информации о потребителях» — "Interagency Guidelines Establishing Standards for Safeguarding Customer Information, или просто «Правила» — "Guidelines") содержат стандарты по мерам безопасности, названные «мерами безопасности для финансовых учреждений» ("financial institution safeguards").[60] Раздел III.С.1 «Правил» устанавливает, что учреждения, на которые правила распространяются, должны предусматривать следующие меры безопасности для финансовой информации клиентов:

a) контроль доступа к системам с информацией клиентов;

b) ограничение доступа к местам физического размещения информации клиентов;

c) шифрование электронной информации клиентов;

d) процедуры, обеспечивающие отсутствие влияния модификации систем на безопасность;

e) процедуры двойного контроля, разделение обязанностей и личные проверки персонала;[61]

f) системы обнаружения реальных атак на системы с информацией клиентов или их взлома;

g) программы реагирования, определяющие действия при неавторизованном доступе;

h) защиту от физического уничтожения или повреждения информации клиентов.

Третьим возможным основанием для привлечения к ответственности являются правовые понятия, такие, как халатность. Исходя из правовых понятий, таких, как ответственность за качество продукции или ответственность владельцев помещений, сторона может быть привлечена к ответственности на основании того, что ее продукция или помещения были использованы другой стороной для причинения вреда третьей стороне. Многие из таких правовых понятий становятся правовыми нормами (прецедентами) после того, как суды установят устойчивый характер вреда — например, причинами распространенности ответственности за качество продукции являются промышленная революция и недоброкачественно спроектированная продукция. Если из этих исторических событий будет сделан вывод, то суды начнут использовать прецедент, заключающийся в том, что сторона может быть привлечена к ответственности за вред, причиненный системам другой стороны вследствие неспособности первой стороны поддерживать надлежащую безопасность информации.

Действительно, такие дела уже ведутся в судах. Exigent (компания по разработке программного обеспечения) подала иск в Европе против немецкого университета и шведской хостинговой компании после того, как хакер взломал сеть Exigent и украл конфиденциальный исходный код, используя для этого учетную запись в немецком университете и системы Интернет-провайдера.[62] В США, техасская компания C.I. Host подала иск на компанию Exodus, серверы которой были использованы для запуска нескольких атак по типу «отказ от обслуживания» против C.I. Host. Журналист, комментирующий этот процесс, удачно подметил, какое воздействие оказало дело против Exodus на эти компании:[63]

«Юристы C.I. Host убедили судью из Техаса выдать предписание на временное ограничение, предусматривающее отключение трех веб-серверов, участвовавших в атаке, до тех пор, пока обе компании не убедятся, что уязвимые места закрыты. В этом запутанном и темном деле были стравлены не соперник с соперником, а жертва с жертвой. Хотя атаки продолжались только пару дней, чтобы закрыть это дело потребовалось семь месяцев высокооплачиваемого труда юристов, не говоря уже о затраченных времени и энергии.

Этот и другие подобные ему случаи, вероятно, будут возникать все чаще по мере того, как компании будут страдать от отключения их от пользователей и кражи информации, вызываемых «дырами» в безопасности.»[64] (курсив автора).

В том случае, если на компанию подан иск на основании одного или более таких прецедентов или если компания сама понесла внутренние убытки от бреши в безопасности (простои, кража интеллектуальной собственности и т. д.), то должностные лица компании или директоры могут быть привлечены к ответственности за невыполнение возложенных на них обязанностей. В соответствии с этими обязанностями перед компанией и акционерами директоры и должностные лица должны защищать имущество компании. Ученые-юристы предложили, чтобы должностные лица и директоры защищали информационные фонды компаний в той же степени, как и физическое имущество:

«Главная обязанность [по обеспечению безопасности информации] лежит на руководстве, и неспособность добросовестно выполнять эту обязанность может приводить к персональной ответственности должностных лиц и директоров. Стандартом для юридического заключения может стать «должное старание» ("due diligence"): его нужно проявлять при обеспечении безопасности компании в такой же степени, как и при покупке самой компании.» (курсив автора). — Esther Roditti, Computer Contracts, Sec. 15:03[1], стр. 15–25 (Matthew Bender, 1999).

Обязанности по защите информационных фондов закрепляются законодательно в возрастающих по количеству федеральных актах. Раздел III.А «Правил» GLBA требует от совета директоров принятия политики безопасности для их организации, а затем и: «… надзора за разработкой, осуществлением и поддержкой программы обеспечения безопасности информации банка, при этом руководство должно определять конкретные обязанности по ее осуществлению и рассматривать предоставленные менеджерами отчеты».[65]

В соответствии с Разделом III.F «Правил» совет директоров после первоначального утверждения должен затем ежегодно пересматривать программу обеспечения безопасности.

Хотя некоторые из финансовых учреждений попросили федеральные органы убрать из «Правил» пункты, касающиеся ответственности совета директоров, им было в этом отказано. В официальном комментарии к «Правилам» разъясняется, почему федеральные органы потребовали ответственности совета директоров за обеспечение информационной безопасности:

«Некоторые комментаторы заявляют, что каждое финансовое учреждение должно иметь право решать самостоятельно, в каких случаях эта программа должна утверждаться советом директоров… Другие же предлагают изменить «Правила» так, чтобы от совета директоров требовалось принятие только первоначальной программы информационной безопасности с делегированием последующих пересмотра и принятия программы комитету или одному лицу. Федеральные органы полагают, что общая программа информационной безопасности финансового учреждения очень важна для безопасности и финансовой устойчивости организаций. Исходя из этого, «Правила» в окончательном их виде продолжают возлагать ответственность за принятие и осуществление надзора за выполнением этой программы на советы директоров организаций)) (курсив автора).