Ahogy korábban írtuk, a múlt héten egy globális informatikai probléma megbénított repülőtereket, vasúti pályaudvarokat, bankrendszereket, biztosítókat, gondokat okozott a tőzsdén és különböző gyáraknál, valamint biztosítóknál és médiaszolgáltatóknál is.

A hibát az okozta, hogy a CrowdStrike (amelynek nem kevés ügyfele van világszerte) egy hibás frissítést adott ki. A vállalat vasárnap közölte, hogy az érintett eszközöknek „jelentős számban” sikerült újra működésbe állniuk a pénteki, világszerte tapasztalt leállás után.

Az Indexnek korábban Tóth István IT-biztonsági szakember nyilatkozott a témában, most pedig a Taylor Wessing ügyvédi iroda is kiadott egy közleményt, amelyben többek között arról is adtak tájékoztatást, hogy ki fizeti meg a múlt heti IT-összeomlás okozta károkat.

Ki a felelős?

Azzal kapcsolatban, hogy ki felel az érintett vállalkozások bevételkieséséért, az írták: azokban az esetekben, amikor a CrowdStrike az érintett vállalatok közvetlen szerződéses partnere, és a biztosítás nem vagy nem elegendő mértékben fedezi a nem rosszindulatú kibertámadásokat, a vállalatoknak közvetlenül a CrowdStrike vagy annak biztosítója ellen kell megpróbálniuk fellépni.

Ez különösen nehéz az európai vállalatok számára, egyrészt mivel a CrowdStrike általános szerződési feltételei széles körű felelősségkizárásokat tartalmaznak. Másrészt a CrowdStrike ÁSZF-ének egy része a kaliforniai jog alkalmazhatóságát és a kaliforniai bíróságok kizárólagos joghatóságát írja elő, bár ez nem feltétlenül érvényesül. Azt, hogy a CrowdStrike és az érintett vállalatok között mely ÁSZF-ek alkalmazandók, és hogy ezekről érvényesen megállapodtak-e, minden egyes esetben külön-külön kell megvizsgálni

– mondta Philipp Zumbo, a Taylor Wessing közép- és kelet-európai vitarendezési csoportjának vezetője.

Ha viszont a szerződéses partner egy másik (uniós) vállalat, amely a CrowdStrike szoftverét – például plug-in-ként – saját biztonsági szoftveréhez használja, a kártérítési igényeket elsősorban ezzel a vállalattal szemben kell megvizsgálni. Ezekben az esetekben is előzetesen tisztázni kell az alkalmazandó jogot, a joghatóságot és a felelősség esetleges korlátozását.

Továbbá a károsult fél elméletileg képes lehet a CrowdStrike-kal szemben is igényt érvényesíteni a szerződésen kívüli felelősség szabályai alapján, feltéve, hogy nincs szerződéses kapcsolata (még közvetett sem) a vállalattal. Ez lenne a helyzet például akkor, ha a CrowdStrike-szoftvert használó egyes földi kiszolgáló társaságok működésének összeomlása késéseket vagy járattörléseket okozó hullámhatásokat eredményezne olyan légitársaságoknál, amelyek maguk nem támaszkodnak a CrowdStrike-szoftverre és az érintett földi kiszolgáló társaságokra.

Mint írták, ilyen esetben a károsultak senkivel szemben nem érvényesíthetnének „szerződésszegési” igényt, mivel nem állnak szerződéses kapcsolatban a kárt közvetlenül vagy közvetve okozó felekkel. Ez megnyitná az utat a szerződésen kívüli felelősségen alapuló kártérítési követelés előtt, ahol a felelősségi sztenderdek és a joghatósági szabályok jelentősen eltérnek a közvetlen szerződéses kapcsolatoktól.

Novák Zoltán szerint „tekintettel a felelősség eltérő sztenderdjeire és a CrowdStrike ÁSZF-ének tartalmára, a CrowdStrike-kal semmilyen (közvetlen vagy közvetett) szerződéses kapcsolatban nem álló jogalanyok akár jobb helyzetben is lehetnek ahhoz, hogy sikeres kártérítési igényt érvényesítsenek a CrowdStrike-kal szemben, mint azok, akik (közvetlen vagy közvetett) szerződéses kapcsolatban állnak a társasággal”. A körülményektől függően – a CrowdStrike ÁSZF-ében foglalt kiterjedt felelősségkorlátozások nélkül – hazai bíróságok előtt is érvényesíthetik követeléseiket annak a helynek a joga alapján, ahol a kár bekövetkezett.

Nem jár mindenkinek kártérítés

Közölték azt is, hogy az érintett vállalatoknak nem kell mindenképpen kártérítést fizetniük az ügyfeleiknek. A járattörlések esetében például a jogi helyzet bonyolult, mert bár a légi utasok jogairól szóló rendelet általánosságban rendelkezik a helyettesítő szállításra való jogosultságról, másrészről viszont nem jár kártalanítás, ha a járatot „rendkívüli körülmények” miatt törlik. A műszaki problémák általában nem minősülnek rendkívüli körülménynek, ha azonban a járat törlése a repülőtéren felmerült műszaki problémára vezethető vissza, a légitársaság általában nem felelős.

Ezenkívül az érintett társaságok ÁSZF-e számos esetben tartalmazza a (nem súlyos) gondatlanságból és elháríthatatlan eseményekből eredő (következmény) károkért való felelősség kizárását.

Azt, hogy ez a helyzet valóban fennáll-e, minden egyes szerződéses jogviszony esetében külön-külön kell megvizsgálni. A fent említett felelősségkorlátozások általában nagyrészt érvényesek, legalábbis B2B relációban. B2C relációban ennek inkább az ellenkezője igaz

– mondta Ivo Deskovic, a Taylor Wessing partnere, a vitarendezési csoport tagja.

Mit érdemes tenniük a vállalatoknak?

A közvetetten érintett vállalatokkal (közvetlenül érintett vállalkozások ügyfeleivel, beszállítóival) kapcsolatban azt írták: ezek a cégek azzal a problémával szembesülhetnek, hogy nem kapják meg a szükséges teljesítéseket a közvetlenül érintett vállalatoktól, viszont saját ügyfeleikkel szembeni kötelezettségeiket teljesíteniük kell. Míg a végfelhasználók, különösen, ha fogyasztók, általában könnyen kártérítést érvényesíthetnek a közvetetten érintett vállalatokkal szemben, ez utóbbiaknak a gyakran külföldön található szerződéses partnereik ellen kell fellépniük, esetleg közvetlenül a CrowdStrike vagy a biztosítók ellen.

A közvetlenül érintett vállalatoknak pedig először is, ellenőrizni kell az érintett szerződéses partnerekkel fennálló megállapodásokat. A kompenzáció iránti kérelemmel a meglévő biztosítótársaságokhoz kell fordulni, ráadásul gyorsan. Számos biztosítási szerződés rendelkezik arról, hogy a biztosító mentesül a felelősség alól, ha a biztosítási bejelentés nem történik meg azonnal.

Ha hasonló hiba ismét bekövetkezne, Andreas Schütz, IT partner a következőket tanácsolja: „A vállalatoknak olyan tartalékmegoldásokat kell kidolgozniuk a jövőbeli incidensek esetére, vagy azokat a meglévő rendszereket kell bővíteniük, amelyek minimalizálják a veszélyeztetettség vagy az operatív tevékenységek teljes kiesésének kockázatát. A kockázat megosztása érdekében párhuzamos rendszerek létrehozása mellett célszerű megfontolni a kiberbiztosítás megkötését és szükség esetén a meglévő biztosítási fedezet növelését is. Azt is figyelembe kell venni, hogy a biztosítás feltételeitől függően több órás várakozási idő is vonatkozhat az üzemszünetekre”.