Читаем IT-безопасность: стоит ли рисковать корпорацией? полностью

С позиции предсказуемости атаки хакеров (количество которых увеличивается с каждым годом) «дыры» в информационной безопасности могут вызывать для корпораций серьезные правовые проблемы, касающиеся претензий к третьей стороне, в результате действия или бездействия которой к ответственности могут быть привлечены директор или другое должностное лицо. Иски к третьей стороне могут подаваться на основании нарушений условий контрактов, нарушений законодательных актов, предписывающих принятие мер по защите информации, или на основании правовых понятий, таких, как халатность. Взыскание в полном объеме убытков по таким искам с третьей стороны (или прямых убытков имуществу компаний, если иски к третьей стороне не будут удовлетворены) может приводить к искам против должностных лиц и директоров компаний за невыполнение своих обязанностей, доверенных им корпорацией или акционерами.

Процессы, возбуждаемые из-за нарушений условий контракта, вероятнее всего, будут опираться на пункты контрактов, предусматривающие соблюдение конфиденциальности и обеспечение безопасности информации, которую компания получает от другой стороны, то есть клиента, поставщика или партнера по бизнесу. В действительности, все соглашения по оказанию услуг, поставок программного обеспечения, экономическому объединению, совместным предприятиям и по неразглашению информации содержат пункты, касающиеся соблюдения конфиденциальности. Эти пункты требуют от каждой стороны защищать совместно используемую информацию и оговаривают, что в случае несоблюдения этого условия одной из сторон другая сторона освобождается от ответственности за убытки, причиненные таким нарушением договора. Если неразборчивая в средствах третья сторона получит доступ к конфиденциальной информации другой стороны, переданной стороне-получателю, то сторона-получатель, хранящая информацию в электронном виде и не обеспечившая ее должную защиту, несет за это ответственность. Например, если компания А передает секретную формулу или проект компании В по соглашению о совместном предприятии, в котором содержится пункт о конфиденциальности, то компания В несет ответственность перед компанией А в случае, если третья сторона взломает сеть компании В и обнаружит (или украдет) секретную формулу или проект компании А.

Хотя такие пункты контрактов были изобретены еще в дни, когда конфиденциальная информация передавалась в бумажном виде и хранилась в запертых шкафах, они важны и для наших дней, когда все больше конфиденциальной информации предается и хранится в электронном виде. В условиях, когда электронный «взлом» может быть сделан более скрытно и требовать меньше усилий, чем взлом физический, сегодня записи с конфиденциальной информацией подвергаются большему риску, чем в прошлом.

Другими обстоятельствами, при которых нарушение безопасности может быть причиной привлечения к ответственности за нарушение условий контракта, могут быть ситуации предоставления услуг хостинга, или совместного размещения информации. При этом контракт с компанией, предоставляющей хостинг, предусматривает обеспечение определенного уровня безопасности (даже если он назван «приемлемым уровнем безопасности»). Такие пункты контракта встречаются все чаще, так как хостинговые компании пытаются выделить себя на рынке, предлагая заключить соглашение об уровне услуг, то есть о предоставлении «безопасного хостинга».