Múlt hét pénteken a CrowdStrike frissítéshibás kódja miatt világszerte több millió számítógép állt le. Ennek hatása részben még mindig érezhető, minden idők valószínűleg legnagyobb kiberincidensének pedig hatalmas jogi következményei vannak, és számos kérdés merül fel a témában. Philipp Zumbo, Ivo Deskovic, Andreas Schütz és Novák Zoltán, a Taylor Wessing nemzetközi ügyvédi iroda vitarendezési és IT-szakértői megválaszolták a legfontosabbakat.
Ahogy korábban írtuk, a múlt héten egy globális informatikai probléma megbénított repülőtereket, vasúti pályaudvarokat, bankrendszereket, biztosítókat, gondokat okozott a tőzsdén és különböző gyáraknál, valamint biztosítóknál és médiaszolgáltatóknál is.
A hibát az okozta, hogy a CrowdStrike (amelynek nem kevés ügyfele van világszerte) egy hibás frissítést adott ki. A vállalat vasárnap közölte, hogy az érintett eszközöknek „jelentős számban” sikerült újra működésbe állniuk a pénteki, világszerte tapasztalt leállás után.
Az Indexnek korábban Tóth István IT-biztonsági szakember nyilatkozott a témában, most pedig a Taylor Wessing ügyvédi iroda is kiadott egy közleményt, amelyben többek között arról is adtak tájékoztatást, hogy ki fizeti meg a múlt heti IT-összeomlás okozta károkat.
Azzal kapcsolatban, hogy ki felel az érintett vállalkozások bevételkieséséért, az írták: azokban az esetekben, amikor a CrowdStrike az érintett vállalatok közvetlen szerződéses partnere, és a biztosítás nem vagy nem elegendő mértékben fedezi a nem rosszindulatú kibertámadásokat, a vállalatoknak közvetlenül a CrowdStrike vagy annak biztosítója ellen kell megpróbálniuk fellépni.
Ez különösen nehéz az európai vállalatok számára, egyrészt mivel a CrowdStrike általános szerződési feltételei széles körű felelősségkizárásokat tartalmaznak. Másrészt a CrowdStrike ÁSZF-ének egy része a kaliforniai jog alkalmazhatóságát és a kaliforniai bíróságok kizárólagos joghatóságát írja elő, bár ez nem feltétlenül érvényesül. Azt, hogy a CrowdStrike és az érintett vállalatok között mely ÁSZF-ek alkalmazandók, és hogy ezekről érvényesen megállapodtak-e, minden egyes esetben külön-külön kell megvizsgálni
– mondta Philipp Zumbo, a Taylor Wessing közép- és kelet-európai vitarendezési csoportjának vezetője.
Ha viszont a szerződéses partner egy másik (uniós) vállalat, amely a CrowdStrike szoftverét – például plug-in-ként – saját biztonsági szoftveréhez használja, a kártérítési igényeket elsősorban ezzel a vállalattal szemben kell megvizsgálni. Ezekben az esetekben is előzetesen tisztázni kell az alkalmazandó jogot, a joghatóságot és a felelősség esetleges korlátozását.
Továbbá a károsult fél elméletileg képes lehet a CrowdStrike-kal szemben is igényt érvényesíteni a szerződésen kívüli felelősség szabályai alapján, feltéve, hogy nincs szerződéses kapcsolata (még közvetett sem) a vállalattal. Ez lenne a helyzet például akkor, ha a CrowdStrike-szoftvert használó egyes földi kiszolgáló társaságok működésének összeomlása késéseket vagy járattörléseket okozó hullámhatásokat eredményezne olyan légitársaságoknál, amelyek maguk nem támaszkodnak a CrowdStrike-szoftverre és az érintett földi kiszolgáló társaságokra.
Mint írták, ilyen esetben a károsultak senkivel szemben nem érvényesíthetnének „szerződésszegési” igényt, mivel nem állnak szerződéses kapcsolatban a kárt közvetlenül vagy közvetve okozó felekkel. Ez megnyitná az utat a szerződésen kívüli felelősségen alapuló kártérítési követelés előtt, ahol a felelősségi sztenderdek és a joghatósági szabályok jelentősen eltérnek a közvetlen szerződéses kapcsolatoktól.
Novák Zoltán szerint „tekintettel a felelősség eltérő sztenderdjeire és a CrowdStrike ÁSZF-ének tartalmára, a CrowdStrike-kal semmilyen (közvetlen vagy közvetett) szerződéses kapcsolatban nem álló jogalanyok akár jobb helyzetben is lehetnek ahhoz, hogy sikeres kártérítési igényt érvényesítsenek a CrowdStrike-kal szemben, mint azok, akik (közvetlen vagy közvetett) szerződéses kapcsolatban állnak a társasággal”. A körülményektől függően – a CrowdStrike ÁSZF-ében foglalt kiterjedt felelősségkorlátozások nélkül – hazai bíróságok előtt is érvényesíthetik követeléseiket annak a helynek a joga alapján, ahol a kár bekövetkezett.
Közölték azt is, hogy az érintett vállalatoknak nem kell mindenképpen kártérítést fizetniük az ügyfeleiknek. A járattörlések esetében például a jogi helyzet bonyolult, mert bár a légi utasok jogairól szóló rendelet általánosságban rendelkezik a helyettesítő szállításra való jogosultságról, másrészről viszont nem jár kártalanítás, ha a járatot „rendkívüli körülmények” miatt törlik. A műszaki problémák általában nem minősülnek rendkívüli körülménynek, ha azonban a járat törlése a repülőtéren felmerült műszaki problémára vezethető vissza, a légitársaság általában nem felelős.
Ezenkívül az érintett társaságok ÁSZF-e számos esetben tartalmazza a (nem súlyos) gondatlanságból és elháríthatatlan eseményekből eredő (következmény) károkért való felelősség kizárását.
Azt, hogy ez a helyzet valóban fennáll-e, minden egyes szerződéses jogviszony esetében külön-külön kell megvizsgálni. A fent említett felelősségkorlátozások általában nagyrészt érvényesek, legalábbis B2B relációban. B2C relációban ennek inkább az ellenkezője igaz
– mondta Ivo Deskovic, a Taylor Wessing partnere, a vitarendezési csoport tagja.
A közvetetten érintett vállalatokkal (közvetlenül érintett vállalkozások ügyfeleivel, beszállítóival) kapcsolatban azt írták: ezek a cégek azzal a problémával szembesülhetnek, hogy nem kapják meg a szükséges teljesítéseket a közvetlenül érintett vállalatoktól, viszont saját ügyfeleikkel szembeni kötelezettségeiket teljesíteniük kell. Míg a végfelhasználók, különösen ha fogyasztók, általában könnyen kártérítést érvényesíthetnek a közvetetten érintett vállalatokkal szemben, ez utóbbiaknak a gyakran külföldön található szerződéses partnereik ellen kell fellépniük, esetleg közvetlenül a CrowdStrike vagy a biztosítók ellen.
A közvetlenül érintett vállalatoknak pedig először is ellenőrizni kell az érintett szerződéses partnerekkel fennálló megállapodásokat. A kompenzáció iránti kérelemmel a meglévő biztosítótársaságokhoz kell fordulni, ráadásul gyorsan. Számos biztosítási szerződés rendelkezik arról, hogy a biztosító mentesül a felelősség alól, ha a biztosítási bejelentés nem történik meg azonnal.
Ha hasonló hiba ismét bekövetkezne, Andreas Schütz, IT-partner a következőket tanácsolja: „A vállalatoknak olyan tartalékmegoldásokat kell kidolgozniuk a jövőbeli incidensek esetére, vagy azokat a meglévő rendszereket kell bővíteniük, amelyek minimalizálják a veszélyeztetettség vagy az operatív tevékenységek teljes kiesésének kockázatát. A kockázat megosztása érdekében párhuzamos rendszerek létrehozása mellett célszerű megfontolni a kiberbiztosítás megkötését és szükség esetén a meglévő biztosítási fedezet növelését is. Azt is figyelembe kell venni, hogy a biztosítás feltételeitől függően több órás várakozási idő is vonatkozhat az üzemszünetekre”.