Óriási kárt okozott cégének a gigantikus informatikai leállás? Így kaphat kártérítést

Július 19. nagy eséllyel be fog vonulni a történelembe: a CrowdStrike frissítés hibás kódja miatt világszerte több millió számítógép állt le. A többek között számos repülőteret, bankot, távközlési vállalatot és kórházat érintő leállás hatása részben még mindig érezhető, minden idők valószínűleg legnagyobb kiberincidensének pedig hatalmas jogi következményei vannak, és számos kérdés merül fel vele kapcsolatban. Philipp Zumbo, Ivo Deskovic, Andreas Schütz és Novák Zoltán, a Taylor Wessing nemzetközi ügyvédi iroda vitarendezési és IT szakértői megválaszolták a legfontosabbakat.

2024. július 28.

Piac&Profit

1. Ki felel az érintett vállalkozások bevételkiesésért?

Azokban az esetekben, amikor a CrowdStrike az érintett vállalatok közvetlen szerződéses partnere, és a biztosítás nem vagy nem elegendő mértékben fedezi a nem rosszindulatú kibertámadásokat, a vállalatoknak közvetlenül a CrowdStrike vagy annak biztosítója ellen kell megpróbálniuk fellépni.

„Ez különösen nehéz az európai vállalatok számára, egyrészt mivel a CrowdStrike általános szerződési feltételei széles körű felelősségkizárásokat tartalmaznak. Másrészt, a CrowdStrike ÁSZF-jének egy része a kaliforniai jog alkalmazhatóságát és a kaliforniai bíróságok kizárólagos joghatóságát írja elő, bár ez nem feltétlenül érvényesül. Azt, hogy a CrowdStrike és az érintett vállalatok között mely ÁSZF-ek alkalmazandók, és hogy ezekről érvényesen megállapodtak-e, minden egyes esetben külön-külön kell megvizsgálni” – mondja Philipp Zumbo, a Taylor Wessing közép- és kelet-európai vitarendezési csoportjának vezetője.

Ha viszont a szerződéses partner egy másik (uniós) vállalat, amely a CrowdStrike szoftverét - például plug-in-ként - saját biztonsági szoftveréhez használja, a kártérítési igényeket elsősorban ezzel a vállalattal szemben kell megvizsgálni. Ezekben az esetekben is előzetesen tisztázni kell az alkalmazandó jogot, a joghatóságot és a felelősség esetleges korlátozását.

Továbbá, a károsult fél elméletileg képes lehet a CrowdStrike-kal szemben is igényt érvényesíteni a szerződésen kívüli felelősség szabályai alapján, feltéve, hogy nincs szerződéses kapcsolata (még közvetett se) a vállalattal. Ez lenne a helyzet például akkor, ha a CrowdStrike szoftvert használó egyes földi kiszolgáló társaságok működésének összeomlása késéseket vagy járattörléseket okozó hullámhatásokat eredményezne olyan légitársaságoknál, amelyek maguk nem támaszkodnak a CrowdStrike szoftverre és az érintett földi kiszolgáló társaságokra. Ilyen esetben a károsultak senkivel szemben nem érvényesíthetnének „szerződésszegési” igényt, mivel nem állnak szerződéses kapcsolatban a kárt közvetlenül vagy közvetve okozó felekkel.

Véleményvezér