Múlt hét pénteken a CrowdStrike frissítés hibás kódja miatt világszerte több millió számítógép állt le. Ennek hatása részben még mindig érezhető, minden idők valószínűleg legnagyobb kiberincidensének pedig hatalmas jogi következményei vannak, és számos kérdés merül fel a témában. Philipp Zumbo, Ivo Deskovic, Andreas Schütz és Novák Zoltán, a Taylor Wessing nemzetközi ügyvédi iroda vitarendezési és IT szakértői megválaszolták a legfontosabbakat.
Ki a felelős?
Azzal kapcsolatban, hogy ki felel az érintett vállalkozások bevételkiesésért, az írták: azokban az esetekben, amikor a CrowdStrike az érintett vállalatok közvetlen szerződéses partnere, és a biztosítás nem vagy nem elegendő mértékben fedezi a nem rosszindulatú kibertámadásokat, a vállalatoknak közvetlenül a CrowdStrike vagy annak biztosítója ellen kell megpróbálniuk fellépni.
Ez különösen nehéz az európai vállalatok számára, egyrészt mivel a CrowdStrike általános szerződési feltételei széles körű felelősségkizárásokat tartalmaznak. Másrészt, a CrowdStrike ÁSZF-jének egy része a kaliforniai jog alkalmazhatóságát és a kaliforniai bíróságok kizárólagos joghatóságát írja elő, bár ez nem feltétlenül érvényesül. Azt, hogy a CrowdStrike és az érintett vállalatok között mely ÁSZF-ek alkalmazandók, és hogy ezekről érvényesen megállapodtak-e, minden egyes esetben külön-külön kell megvizsgálni – mondta Philipp Zumbo, a Taylor Wessing közép- és kelet-európai vitarendezési csoportjának vezetője.
Ha viszont a szerződéses partner egy másik (uniós) vállalat, amely a CrowdStrike szoftverét – például plug-in-ként – saját biztonsági szoftveréhez használja, a kártérítési igényeket elsősorban ezzel a vállalattal szemben kell megvizsgálni. Ezekben az esetekben is előzetesen tisztázni kell az alkalmazandó jogot, a joghatóságot és a felelősség esetleges korlátozását.
Továbbá, a károsult fél elméletileg képes lehet a CrowdStrike-kal szemben is igényt érvényesíteni a szerződésen kívüli felelősség szabályai alapján, feltéve, hogy nincs szerződéses kapcsolata (még közvetett se) a vállalattal. Ez lenne a helyzet például akkor, ha a CrowdStrike szoftvert használó egyes földi kiszolgáló társaságok működésének összeomlása késéseket vagy járattörléseket okozó hullámhatásokat eredményezne olyan légitársaságoknál, amelyek maguk nem támaszkodnak a CrowdStrike szoftverre és az érintett földi kiszolgáló társaságokra.
Nem jár mindenkinek kártérítés
Közölték azt is, hogy az érintett vállalatoknak nem kell mindenképpen kártérítést fizetniük ügyfeleiknek. A járattörlések esetében például a jogi helyzet bonyolult, mert bár a légi utasok jogairól szóló rendelet általánosságban rendelkezik a helyettesítő szállításra való jogosultságról, másrészről viszont nem jár kártalanítás, ha a járatot „rendkívüli körülmények” miatt törlik. A műszaki problémák általában nem minősülnek rendkívüli körülménynek, ha azonban a járat törlése a repülőtéren felmerült műszaki problémára vezethető vissza, a légitársaság általában nem felelős.
Ezenkívül az érintett társaságok számos ÁSZF-je tartalmazza a (nem súlyos) gondatlanságból és elháríthatatlan eseményekből eredő (következmény) károkért való felelősség kizárását. Azt, hogy ilyen eset valóban fennáll-e, minden egyes szerződéses jogviszony esetében külön-külön kell megvizsgálni. A fent említett felelősségkorlátozások általában nagyrészt érvényesek, legalábbis B2B relációban. B2C relációban ennek inkább az ellenkezője igaz – mondta Ivo Deskovic, a Taylor Wessing partnere, a vitarendezési csoport tagja.
Mit érdemes tenniük a vállalatoknak?
A közvetetten érintett vállalatokkal (közvetlenül érintett vállalkozások ügyfeleivel, beszállítóival) kapcsolatban azt írták: ezek a cégek azzal a problémával szembesülhetnek, hogy nem kapják meg a szükséges teljesítéseket a közvetlenül érintett vállalatoktól, viszont saját ügyfeleikkel szembeni kötelezettségeiket teljesíteniük kell. Míg a végfelhasználók, különösen, ha fogyasztók, általában könnyen kártérítést érvényesíthetnek a közvetetten érintett vállalatokkal szemben, ez utóbbiaknak a gyakran külföldön található szerződéses partnereik ellen kell fellépniük, esetleg közvetlenül a CrowdStrike vagy a biztosítók ellen.
A közvetlenül érintett vállalatoknak pedig először is, ellenőrizni kell az érintett szerződéses partnerekkel fennálló megállapodásokat. A kompenzáció iránti kérelemmel a meglévő biztosítótársaságokhoz kell fordulni, ráadásul gyorsan. Számos biztosítási szerződés rendelkezik arról, hogy a biztosító mentesül a felelősség alól, ha a biztosítási bejelentés nem történik meg azonnal.
Ha hasonló hiba ismét bekövetkezne, Andreas Schütz, IT partner a következőket tanácsolja: „A vállalatoknak olyan tartalékmegoldásokat kell kidolgozniuk a jövőbeli incidensek esetére, vagy azokat a meglévő rendszereket kell bővíteniük, amelyek minimalizálják a veszélyeztetettség vagy az operatív tevékenységek teljes kiesésének kockázatát. A kockázat megosztása érdekében párhuzamos rendszerek létrehozása mellett célszerű megfontolni a kiberbiztosítás megkötését és szükség esetén a meglévő biztosítási fedezet növelését is. Azt is figyelembe kell venni, hogy a biztosítás feltételeitől függően több órás várakozási idő is vonatkozhat az üzemszünetekre”.
Érdekes tény: Az AI technológia egyre inkább részt vesz a kiberbiztonsági támadások és védekezések területén, így a jövőben hasonló incidensek megelőzésében is szerepet játszhat.
Források: Index, Taylor Wessing