Вопрос: Могла ли / быть ответственной за уязвимости сервера? [закрыто]


Есть ли прецедент в Северной Америке или где-либо еще, где администратор сервера был привлечен к ответственности за то, что он оставил сервер уязвимым?

Например, если в IIS есть известный эксплойт - Microsoft выпускает для него патч, а по причине X вы не применяете его на своем сервере, ваш сайт подвергается риску со стороны хакеров, и в результате вы заражаете своих посетителей вредоносными программами что в конечном итоге может привести к финансовым потерям. Вы или можете нести ответственность?

Это субъективно и, очевидно, не то, что я делаю;) просто любопытно.


7
2017-07-29 14:32


Источник


В США, если вы можете показать «должную осмотрительность», и ваша система будет взломана или что-то еще, что вы, вероятно, в порядке. Обратитесь к своему аудитору. Единственное предостережение - если вы являетесь подрядчиком, работающим по контракту, который оговаривает что-то другое, или вы находитесь на SOX-совместимом (Sarbanes-Oxley) сайте. Затем вам нужно полагаться на «должную осмотрительность», как это определено в соответствии с требованиями аудиторов и федеральных правил. Если аудиторы находят проблемы, и у вас есть взлом, тогда вы находитесь в юридической проблеме, в большом времени. Так будет и ваша компания. - jim mcnamara


Ответы:


Я не юрист и не даю вам юридической консультации. Это ServerFault.com тоже не SuperLawyerOverflowFault.com. Я также говорю только о Соединенных Штатах: «Северная Америка». Канада морозная и страшная, и я ничего об этом не знаю.

Сказав это, я не осведомлен о каких-либо штатах США, где уголовная ответственность вступает в игру за то, что она просто не устанавливает патчи. Аналогичным образом, я не осведомлен о каких-либо штатах США, которые будут удерживать оператора сервера за уголовную ответственность за распространение вредоносного ПО, распространяемое с взломанного компьютера.

Существуют штаты США, где требуется раскрытие данных о нарушениях, и не раскрытие информации может привести к уголовной ответственности. Даже если ваш сервер не находится в таком состоянии, просто сохраняя данные о людях, находящихся в таком состоянии, где требуется раскрытие информации, может возникнуть требование раскрытия. Предположительно, если ваши серверы были скомпрометированы, можно было бы утверждать, что произошло нарушение данных.

Меня больше беспокоит гражданская ответственность. Любой может подать в суд на кого-либо еще за что угодно в любое время.


5
2017-07-29 14:53



+1! для SuperLawyerOverflowFault и только морозный / страшный. - jscott
Гражданская ответственность также может варьироваться от государства к государству. В Калифорнии работодатель обязан возместить работнику любые «обычные» проблемы, и работник может быть привлечен к ответственности только лично, если то, что они сделали, было нечестным, умышленным или «грубой небрежностью». (раздел 2800 трудового кодекса, 2802, другие разделы и различные прецедентные права). Другие штаты в США могут варьироваться довольно сильно, и работодатель может обвинять / обвинять сотрудника в такой обычной халатности. - freiheit


Есть два отдельных вопроса: «Можно ли меня арестовать?» и «могу ли я получить иск?»

Evan покрыл получение арестованной части и дал нам несколько хихиков в качестве бонуса!

Относительно получения иска. Я могу дать некоторые рекомендации для тех из нас, в США,

Здесь, в США, вы можете получить иск от кого-либо; вопросы состоят в том, будет ли костюм переживать первоначальный обзор и будет ли вы проиграть. Это очень сложный вопрос из-за множества различных возможных обстоятельств. Вообще говоря, вы в безопасности, если выполняете свою работу, если это законно, даже если вы делаете это плохо. Вообще говоря, ты не безопасно если вы действуете вне своих должностных обязанностей, не следуя закону или действуя со злобой.

Вообще говоря, если вы являетесь сотрудником предприятия, закон указывает, что бизнес несет ответственность за последствия ваших действий в качестве их агента, но вы не можете в большинстве случаев нести индивидуальную ответственность. Таким образом, компания может получить иск и может проиграть; худшее, что вы можете получить, уволено.

Уберите ... если вы не являетесь добросовестным, законным сотрудником добросовестного, законного бизнеса, убедитесь, что у вас есть хотя бы соглашение с голыми костями который разъясняет вашу ответственность. И если вам не нравится неопределенность, обратитесь к адвокату.

Кроме того, вероятно, стоит также получить некоторую «ошибку и упущение» или страхование общей ответственности, особенно если у вас есть ценные активы (например, дом).


5
2017-07-29 17:29



+1 - Я обожаю грубую халатность ... - Evan Anderson


Говоря о Великобритании, любая ответственность, связанная с взломанным веб-сайтом, будет возвращена компании, которая работает на этом сайте (если она вообще отходит), а не лицам в этой компании. Для большинства компаний это означает, что у их директоров есть свои задницы на линии.

То, что ваш босс делает с вами, когда узнает, это совсем другое дело, и зависит от вашего трудового договора.


2
2017-07-29 15:23





Да.

В настоящее время я работаю с обеими сторонами (как с хостом, так и с клиентом хоста), и я, безусловно, поддержал бы себя и моего подотчетного подрядчика в случае значительных финансовых потерь.

В конечном счете это зависит от контракта, который был подписан / согласован. В нашем случае это было бы нарушение абсолютного доверия, которое выходит за рамки контрактов.


2
2017-07-29 15:35