Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 3 данного свода знаний описываются основные регуляторные нормы и принципы международного права, которые имеют отношение к кибербезопасности и могут применяться при оценке киберрисков, управлении ИБ, расследовании киберинцидентов. Сегодня – пятая часть обзора Главы 3 CyBOK, в которой описываются особенности договорных взаимоотношений, условия заключения договоров и разрешение контрактных споров.
Руслан Рахметов, Security Vision
Предыдущие главы и части:
Глава 3 часть 1, часть 2, часть 3, часть 4
3.6. Контракт
Термин «контракт» (или «договор») означает добровольные юридические взаимоотношения между двумя или более лицами - по сути, договоренность, выполнение которой обеспечивается законодательными нормами. Под контрактом часто понимают только форму договоренности, например, бумажный документ или email-сообщение, но контракт - это прежде всего именно юридически обязывающие отношения между субъектами, которые могут быть обличены в различные формы.
3.6.1. Онлайн-контракты: время заключения контракта и формат получения сообщений в рамках договора
Для того, чтобы отличить юридически обязывающие договоренности от иных сообщений, могут потребоваться подтверждение достаточности коммуникаций и признаки законодательного обеспечения договоренности. Вопрос достаточности контрактных коммуникаций часто возникает при создании и внедрении сетевых транзакционных систем, а понимание точного времени заключения контракта (так называемый контрактный триггер, англ. contractual trigger) важно при управлении рисками в таких системах. В рамках процесса контрактных коммуникаций важны временные метки отправки предложения по контракту и его получения, временные метки отправки согласия на предложение и его получения. Именно дата и время получения согласия на контрактное предложение и будет считаться временной меткой создания контракта, при этом разработчикам сетевых транзакционных систем важно учитывать последствия возможных нарушений сетевого взаимодействия и прерывания транзакций. Важным моментом также является установление точного времени получения сообщения - таковым может считаться временная метка получения email на почтовом сервере или время создания записи в журнале аудита о факте успешного получения сообщения.
3.6.2. Стандарты кибербезопасности в контрактах
Контракты могут использоваться как механизмы для обоснования внедрения стандартов кибербезопасности.
3.6.2.1. Цепочка поставок
Часто в договоре на закупку прописываются условия соответствия поставщика определенным стандартам ИБ, таким как ISO 27001 или другим специфическим внутренним стандартам, которые приняты сторонами договора. Такие условия могут принимать различные формы (гарантия, аудит, независимая сертификация), а их цель - обеспечить определенный уровень ИБ среди партнеров по цепочке поставок. В случае успешной кибератаки на поставщика, который не подписывался под условиями обеспечения ИБ в рамках договора, пострадавшей стороне будет сложно получить от него компенсацию. Получение информации о зрелости, кибербезопасности и операционных возможностях поставщика до момента подписания договора является подтверждением выполнения норм должной осмотрительности (англ. due diligence) заказчиком.
3.6.2.2. Закрытые торговые и платежные системы
Многие крупные электронные торговые или платежные платформы требуют от участников подписания договоров перед подключением. Эти членские контракты обычно содержат правила использования платформ, средств коммуникации, оборудования, а также включают требования по соответствию определенным ИБ-стандартам, протоколам аутентификации и т.д. Таким образом, участники подобных закрытых систем юридически обязуются соответствовать определенным ИБ-стандартам. Нарушение подобных договоров участниками может поставить под угрозу предмет соглашения - например, выполнение денежных переводов или получение оплаты. Например, продавец, подключившийся к платежной системе и не выполнивший требования по проверке подлинности платежа, может понести существенные убытки - например, не проверив валидность введенных кибермошенником данных платежной карты. Одним из наиболее известных отраслевых платежных стандартов является PCI DSS (Payment Card Industry Data Security Standard, Стандарт безопасности данных индустрии платежных карт) - несмотря на некоторые сомнения в эффективности данного стандарта, его принятие позволило повысить уровень кибербезопасности многих компаний, обрабатывающих данные платежных карт.
3.6.2.3. Ограничения и послабления в контрактных обязательствах
Применимые нормы законодательства могут ограничивать некоторые условия контрактов и отраслевых стандартов - например, требования местного законодательства могут противоречить требованиям стандартов или содержать нормы защиты прав и ответственности пользователей и провайдеров платежных сервисов, что требует гармонизации законодательных требований и условий контрактов.
3.6.3. Гарантии и исключения
Термин «гарантия» описывает договорное обязательство в отношении качества или юридического статуса поставляемых товаров, качества предоставляемой информации, статуса подписантов договора и т.д. В договорах могут присутствовать такие типы гарантий, как:
- Объективное качество поставляемых товаров: типовой покупатель должен быть удовлетворен качеством товара;
- Субъективное качество поставляемых товаров: покупатель со специфическими запросами, донесёнными до производителя, будет удовлетворен качеством товара;
- Объективное качество сервиса: сервис-провайдер гарантирует, что будет обеспечивать должную заботу (англ. due care) в рамках процесса оказания услуг.
Качество товаров и качество услуг нужно оценивать по-разному: соответствие товаров гарантии можно оценить до непосредственного получения продуктов на образцах продукции, а качество услуг до их приобретения можно грубо оценить лишь путем изучения выполняемых провайдером действий, его квалификации и используемых им методологий. Сервис-провайдер, например, может уверять, что обеспечивает должную заботу, но при этом на практике предоставлять некачественные услуги. Особую актуальность данные вопросы получили после развития облачных сервисов, которые всё чаще выбирают вместо классических программных продуктов. Несмотря на часто встречающиеся законодательные требования по включению гарантийных условий в контракты, многие поставщики технологий и ИТ-сервисов стремятся исключить подобные пункты из договоров, заменяя их более узкими рамками гарантий соответствия работы ПО и услуг требованиям, указанным в документации.
3.6.4. Ограничения и исключения ответственности
Исключение ответственности прописывается в договоре как условие о том, что поставщик не будет нести финансовую ответственность за любой тип ущерба вследствие нарушения договора, включая потерю выручки клиентом, упущенную клиентом выгоду, его затраты на восстановление и т.д. Ограничение ответственности означает, что поставщик может понести финансовую ответственность в заранее определенных пределах или высчитываемую по определенной формуле.
Производители продуктов и провайдеры ИТ-услуг стремятся включать пункты об ограничении или исключении ответственности в типовые формы своих договоров для управления своими юридическими рисками. Государственные регуляторы, как правило, с подозрением относятся к подобным исключениям, однако в большей степени такой контроль характерен для сектора B2C, оставляя сегмент B2B менее зарегулированным.
3.6.5. Нарушение контракта и правовые средства защиты интересов
Рассматривая контрактные требования, важно учитывать и юридические последствия нарушения договора, т.е. невыполнения контрактных обязательств. Нарушения могут быть различной степени серьезности, в зависимости от которой пострадавшая сторона выбирает одно или несколько средств защиты своих интересов:
- Ущерб: пострадавшая сторона требует от нарушившей договор стороны финансового возмещения, которое будет достаточным для компенсации недополученной прибыли;
- Расторжение договора: в случае серьезного нарушения пострадавшая сторона может потребовать расторгнуть контракт, при этом условия расторжения могут быть прописаны в самом договоре;
- Специфическая компенсация: в случае серьезного нарушения договора пострадавшая сторона может потребовать от компании-виновника выполнить заранее оговоренные действия - например, передать права на продукт или передать исходный код;
- Компенсация, предусмотренная договором: в контракте могут содержаться положения о способах компенсации и мерах правовой защиты пострадавшей стороны - например, компания-виновник может предоставить дополнительные сервисные часы или выполнить работы по устранению последствий нарушения договора.
3.6.6. Влияние договора на лиц, прямо не указанных в нём
Как правило, последствия нарушение условий договора касаются только лиц, заключивших данный контракт. Даже если третье лицо пострадало в результате нарушения договорных обязательств, оно не может претендовать на компенсацию от компании-виновника. Однако, третье лицо всё равно имеет право на защиту своих интересов в рамках гражданского иска, а в сложных цепочках поставок третье лицо может получить некоторые права от стороны договора (например, права на получение гарантии). Например, компания-провайдер сервисов может столкнуться с требованиями компенсации от лиц, не являющихся сторонами договора, но зависящих от предоставляемых компанией услуг.
3.6.7. Конфликт разных юрисдикций при рассмотрении споров по договорам
Решение о том, законодательство какой страны будет применяться при рассмотрении споров по договорам, как правило, принимается судом, который рассматривает этот спор. Правила могут отличаться в зависимости от страны - например, в ЕС выработан единый механизм ("Rome I", Регламент 593/2008), а в США правила разрешения контрактных споров могут отличаться от штата к штату. Тем не менее, существует ряд общих принципов:
1) Явный выбор сторон: в договоре прописываются юрисдикция и законодательные нормы, в соответствии с которыми могут решаться споры по заключаемому договору;
2) Отсутствие явного выбора сторон: если стороны не прописали в договоре законы, по которым будут решаться споры по контракту, суд принимает решение самостоятельно. Например, в ЕС будут использоваться следующие правила, указанные в статье 4 закона "Rome I":
- Договор о продаже товаров или на оказание услуг будет регулироваться законодательством той страны, резидентом которой является продавец товара или провайдер сервиса;
- Договор продажи товаров на аукционе будет регулироваться законодательством той страны, в которой проводится аукцион;
- Договор, затрагивающий множество участников и основанный на определенном законе, будет регулироваться этим законом.
3) Контракты с потребителями: когда одной из сторон трансграничного договора выступает потребитель, применяются нормы права, которые дополнительно защищают его права. Например, в ЕС, если поставщик продуктов или услуг ведет бизнес-деятельность в стране проживания потребителя, будут действовать следующие правила, указанные в статье 6 закона "Rome I":
- Если в договоре явно не прописываются законы, по которым будут решаться споры, то будут применяться законы той страны, резидентом которой является потребитель;
- Если был явно выбран какой-либо закон, по которому будут решаться споры, то этот выбор не может лишить потребителя юридической защиты в соответствии с законодательством той страны, резидентом которой он является.