После того, как компания обнаруживает кибератаку на свою сеть, начинается поиск виноватых. Генеральный директор винит в этом директора по информационной безопасности (CISO). Директор по информационной безопасности обвиняет финансовых сотрудников в том, что они не выделяют достаточно денег на киберзащиту. Директор по информационным технологиям начинает искать козла отпущения дальше по цепочке поставок. Может быть, они увольняют сотрудника низшего звена, который допустил ошибку или указал на уязвимость в системе безопасности стороннего поставщика. Или, если инцидент произошел в облаке, виноват ли облачный провайдер или владелец данных?

Люди могут перекладывать вину, но когда происходит киберинцидент, кто-то будет нести юридическую ответственность. Но кто это — отдельный человек, отдел или вся компания как единое целое?

Правило делового суждения и кибербезопасность

После кибератаки на SolarWinds акционеры решили подать в суд, заявив, что компания и ее руководители расхваливали корпоративные усилия по кибербезопасности, хотя были доказательства того, что у руководства компании не было эффективной программы кибербезопасности. В иске говорится, что на первом месте были меры по сокращению расходов, а кибербезопасность отошла на второй план по сравнению с прибылью. Иск был направлен против руководителей и совета директоров. В нем были названы имена, а в центре — директор по информационной безопасности.

Правило делового суждения часто защищает руководителей высокого уровня и советы директоров. Правило делового суждения, как определено LawShelf , является «стандартом судебного пересмотра поведения корпоративного директора и должностного лица». Однако, поскольку корпорации подпадают под юрисдикцию штата, а не федерального уровня, стандарты применения Правила вынесения деловых суждений не всегда одинаковы.

«Правило защищает должностных лиц и директоров от ответственности, если они приняли решения добросовестно и с использованием соответствующих процедур, даже если эти решения окажутся плохими или неразумными», — добавил LawShelf.

Или, другими словами, ошибки, допущенные руководителями компании, не влекут за собой ответственности за причиненный ущерб. Вероятно, это так, если ошибка случайна или является следствием вредной мера по сокращению расходов.

Вопрос о правиле делового суждения в киберинцидентах возник в 2017 году. Акционеры подали в суд на Home Depot после утечки данных в 2014 году. В иске ставилась под сомнение компетентность программы кибербезопасности компании. В частности, в нем отмечалось, что нарушение произошло после того, как руководство Home Depot уволило комитет, которому было поручено контролировать ИТ. Судья постановил, что сотрудники регулярно сообщали совету директоров об информационных и киберрисках . Поскольку правление приняло то, что судья считал обоснованным решением в отношении кибербезопасности, судья отклонил иск.

Защита директора по информационной безопасности от ответственности

Согласно вебинару от CISO Series , в контракте с сотрудником одной организации директор по информационной безопасности становился «назначенным преступником», если компания становилась жертвой киберинцидента. Компания разработала этот контракт, чтобы защитить остальную исполнительную команду от юридических и финансовых последствий.

Директор по информационной безопасности является первым в очереди на вину, увольнение и юридическую ответственность за киберинцидент внутри компании. Генеральный директор может быть опозорен публикой, но внутри компании именно директор по информационной безопасности может потерять больше всего.

Вот почему юристы рекомендуют директорам по информационной безопасности подходить к трудовым договорам с учетом юридических последствий. Некоторые просят изменить его название. Должностные обязанности в основном одинаковы, но есть разные предположения, когда кто-то является частью высшего руководства по сравнению с вице-президентом по кибербезопасности или какой-либо аналогичной должностью без предложений участия высшего руководства. Это может обеспечить уровень защиты рабочих мест после киберинцидентов. Другие рекомендуют прописать в контракте «золотой парашют», чтобы в случае привлечения к ответственности и увольнения директора по информационной безопасности его финансовое будущее было защищено.

Индивидуальная ответственность

Благодаря Правилу делового суждения и другим лазейкам в системе правосудия руководители и советы директоров в значительной степени остались невредимыми в юридических последствиях киберинцидентов. Организация приняла удар на себя, но по закону ни одно лицо или небольшая группа лиц не понесли ответственности. Но теперь есть возможные юридические проблемы, которые могут изменить это.

Uber, например, стал жертвой киберинцидентов, но в судебном порядке был поставлен вопрос о том, было ли само поведение Uber причиной утечки данных. Уходящий генеральный директор столкнулся с последствиями за то, что не раскрыл должным образом все подробности, связанные с киберинцидентом. Возлагает ли несообщение о происшествии юридическое бремя на лицо, уклонившееся от этой обязанности?

Кибератаки ввергают компании в правовой хаос. Простая ошибка сотрудника низкого уровня может иметь большие последствия. Если намерение не было злонамеренным, закон, скорее всего, не привлечет этого сотрудника к ответственности. Но может ли суд привлечь лидера, который принимает решения о стратегии кибербезопасности, к ответственности за нарушение, неясно. Эта область права и кибербезопасности продолжает развиваться.

Перевод статьи «Who Is Legally Responsible for a Cyber Incident?»