2024. július 19. nagy eséllyel be fog vonulni a történelembe: a CrowdStrike frissítés hibás kódja miatt világszerte több millió számítógép állt le. A többek között számos repülőteret, bankot, távközlési vállalatot és kórházat érintő leállás hatása részben még mindig érezhető, minden idők valószínűleg legnagyobb kiberincidensének pedig hatalmas jogi következményei vannak, és számos kérdés merül fel vele kapcsolatban. Philipp Zumbo, Ivo Deskovic, Andreas Schütz és Novák Zoltán, a Taylor Wessing nemzetközi ügyvédi iroda vitarendezési és IT szakértői megválaszolták a legfontosabbakat.
Ki felel az érintett vállalkozások bevételkiesésért?
Azokban az esetekben, amikor a CrowdStrike az érintett vállalatok közvetlen szerződéses partnere, és a biztosítás nem vagy nem elegendő mértékben fedezi a nem rosszindulatú kibertámadásokat, a vállalatoknak közvetlenül a CrowdStrike vagy annak biztosítója ellen kell megpróbálniuk fellépni.
„Ez különösen nehéz az európai vállalatok számára, egyrészt mivel a CrowdStrike általános szerződési feltételei széles körű felelősségkizárásokat tartalmaznak. Másrészt, a CrowdStrike ÁSZF-jének egy része a kaliforniai jog alkalmazhatóságát és a kaliforniai bíróságok kizárólagos joghatóságát írja elő, bár ez nem feltétlenül érvényesül. Azt, hogy a CrowdStrike és az érintett vállalatok között mely ÁSZF-ek alkalmazandók, és hogy ezekről érvényesen megállapodtak-e, minden egyes esetben külön-külön kell megvizsgálni” – mondja Philipp Zumbo, a Taylor Wessing közép- és kelet-európai vitarendezési csoportjának vezetője.
Ha viszont a szerződéses partner egy másik (uniós) vállalat, amely a CrowdStrike szoftverét – például plug-in-ként – saját biztonsági szoftveréhez használja, a kártérítési igényeket elsősorban ezzel a vállalattal szemben kell megvizsgálni. Ezekben az esetekben is előzetesen tisztázni kell az alkalmazandó jogot, a joghatóságot és a felelősség esetleges korlátozását.
Továbbá, a károsult fél elméletileg képes lehet a CrowdStrike-kal szemben is igényt érvényesíteni a szerződésen kívüli felelősség szabályai alapján, feltéve, hogy nincs szerződéses kapcsolata (még közvetett se) a vállalattal. Ez lenne a helyzet például akkor, ha a CrowdStrike szoftvert használó egyes földi kiszolgáló társaságok működésének összeomlása késéseket vagy járattörléseket okozó hullámhatásokat eredményezne olyan légitársaságoknál, amelyek maguk nem támaszkodnak a CrowdStrike szoftverre és az érintett földi kiszolgáló társaságokra. Ilyen esetben a károsultak senkivel szemben nem érvényesíthetnének „szerződésszegési” igényt, mivel nem állnak szerződéses kapcsolatban a kárt közvetlenül vagy közvetve okozó felekkel. Ez megnyitná az utat a szerződésen kívüli felelősségen alapuló kártérítési követelés előtt, ahol a felelősségi sztenderdek és a joghatósági szabályok jelentősen eltérnek a közvetlen szerződéses kapcsolatoktól. Novák Zoltán szerint „tekintettel a felelősség eltérő sztenderdjeire és a CrowdStrike ÁSZF-jének tartalmára, a CrowdStrike-kal semmilyen (közvetlen vagy közvetett) szerződéses kapcsolatban nem álló jogalanyok akár jobb helyzetben is lehetnek ahhoz, hogy sikeres kártérítési igényt érvényesítsenek a CrowdStrike-kal szemben, mint azok, akik (közvetlen vagy közvetett) szerződéses kapcsolatban állnak a társasággal.” A körülményektől függően, a CrowdStrike ÁSZF-jében foglalt kiterjedt felelősségkorlátozások nélkül, hazai bíróságok előtt is érvényesíthetik követeléseiket, annak a helynek a joga alapján, ahol a kár bekövetkezett.
Az érintett vállalatoknak mindenképpen kártérítést kell fizetniük ügyfeleiknek?
Nem. A járattörlések esetében például a jogi helyzet bonyolult, mert bár a légi utasok jogairól szóló rendelet általánosságban rendelkezik a helyettesítő szállításra való jogosultságról, másrészről viszont nem jár kártalanítás, ha a járatot „rendkívüli körülmények” miatt törlik.
A műszaki problémák általában nem minősülnek rendkívüli körülménynek, ha azonban a járat törlése a repülőtéren felmerült műszaki problémára vezethető vissza, a légitársaság általában nem felelős.
Ezenkívül
az érintett társaságok számos ÁSZF-je tartalmazza a (nem súlyos) gondatlanságból és elháríthatatlan eseményekből eredő (következmény) károkért való felelősség kizárását.
„Azt, hogy ilyen eset valóban fennáll-e, minden egyes szerződéses jogviszony esetében külön-külön kell megvizsgálni. A fent említett felelősségkorlátozások általában nagyrészt érvényesek, legalábbis B2B relációban. B2C relációban ennek inkább az ellenkezője igaz” – mondja Ivo Deskovic, a Taylor Wessing partnere, a vitarendezési csoport tagja.
Mi a helyzet a közvetetten érintett vállalatokkal (közvetlenül érintett vállalkozások ügyfeleivel, beszállítóival)?
A közvetetten érintett vállalatok azzal a problémával szembesülhetnek, hogy nem kapják meg a szükséges teljesítéseket a közvetlenül érintett vállalatoktól, viszont saját ügyfeleikkel szembeni kötelezettségeiket teljesíteniük kell. Míg a végfelhasználók, különösen, ha fogyasztók, általában könnyen kártérítést érvényesíthetnek a közvetetten érintett vállalatokkal szemben, ez utóbbiaknak a gyakran külföldön található szerződéses partnereik ellen kell fellépniük, esetleg közvetlenül a CrowdStrike vagy a biztosítók ellen.
Milyen lépéseket érdemes tennie a közvetlenül/közvetlenül érintett vállalatoknak?
Először is, ellenőrizni kell az érintett szerződéses partnerekkel fennálló megállapodásokat.
A kompenzáció iránti kérelemmel a meglévő biztosítótársaságokhoz kell fordulni, ráadásul gyorsan.
Számos biztosítási szerződés rendelkezik arról, hogy a biztosító mentesül a felelősség alól, ha a biztosítási bejelentés nem történik meg azonnal.
Nagy a valószínűsége annak, hogy egy hasonló hiba újból bekövetkezik. Mit tehetnek a vállalatok, hogy a jövőben felkészüljenek az ilyen incidensekre?
Andreas Schütz, IT partner , a következőket tanácsolja: „A vállalatoknak olyan tartalékmegoldásokat kell kidolgozniuk a jövőbeli incidensek esetére, vagy azokat a meglévő rendszereket kell bővíteniük, amelyek minimalizálják a veszélyeztetettség vagy az operatív tevékenységek teljes kiesésének kockázatát. A kockázat megosztása érdekében párhuzamos rendszerek létrehozása mellett célszerű megfontolni a kiberbiztosítás megkötését és szükség esetén a meglévő biztosítási fedezet növelését is. Azt is figyelembe kell venni, hogy a biztosítás feltételeitől függően több órás várakozási idő is vonatkozhat az üzemszünetekre.”