Читаем IT-безопасность: стоит ли рисковать корпорацией? полностью

Сегодня незащищенные системы повсюду используются для атак на любые цели. Вашей обязанностью как руководителя является не допустить, чтобы эти системы оказались вашими. Также нельзя допускать атак, исходящих из сети партнера, которые могут быть приписаны вам. Убедитесь, что у вас имеются все надлежащие средства безопасности для обнаружения атаки и защиты сети. Директоры и должностные лица по закону должны охранять информационные фонды корпораций. В случае, если нарушение безопасности сети причиняет вред, владеющая ей организация и ее руководители могут подвергнуться судебному преследованию. Сегодня уже имеются реальные судебные дела.

В следующем разделе главы Дэн Дж. Лэнджин, юрист из Канзаса, обсуждает реальные правовые действия, связанные с ответственностью руководителей и нарушениями в обеспечении безопасности сетей.

Хотя гипотетическая ситуация с канадской плотиной покажется вам довольно необычной, возможность поиска виновных может оказаться не столь притянутой за уши. Когда вред личности причинен неустановленными третьими лицами (или неподсудными, например, неплатежеспособными лицами), то суд распространяет ответственность на другого, более платежеспособного, ответчика, чьи действия или бездействие сделали возможным причинение вреда потерпевшему этими третьими лицами с использованием имущества, принадлежащего ответчику. Первыми подобными случаями в судебной практике являются дела в отношении владельцев помещений. В этих случаях жертвы ограблений, хулиганства и других преступлений, совершенных в мотелях, квартирах или универмагах, подали иски на владельцев и менеджеров этих помещений за то, что они не обеспечили должную безопасность или не предупредили потерпевших о рисках, которым они подвергались, входя в эти помещения. В этих судебных процессах истцы преследуют представителей делового мира, чьи карманы значительно глубже и которых легче найти, чем преступника, совершившего преступление в отношении истцов. Общим аргументом на таких процессах для подтверждения судебной ответственности предпринимателей являлось то, что они были обязаны предотвратить причинение истцу вреда, так как присутствие преступников (и возможного вреда для потерпевшего) было предсказуемым.

Приведенные ниже примеры (процессы Exigent и С. I. Host) показывают, что истцы уже возбуждали иски против третьих сторон, чьи сети, после того как были скомпрометированы, были использованы для запуска атак против потерпевших. К сожалению, в сложившейся после 11 сентября ситуации вопрос «предсказуемости» приобрел новый смысл. В статье в New York Law Journal приводится большой перечень юридических лиц, против которых потерпевшие могут возбуждать иски, связанные с атаками террористов 11 сентября, при условии, если они отказались от своих прав на возмещение ущерба из Фонда компенсации жертвам 11 сентября 2001 года (September 11th Victim Compensation Fund of 2001):[57]

Как замечает автор данной статьи, даже в создаваемых законом о фонде компенсации условиях неопределенности исхода процесса для истца при преследовании этих ответчиков, на время написания статьи был уже возбужден, по меньшей мере, один процесс против United Airlines.[58]