Есть ли прецедент в Северной Америке или где-либо еще, когда администратор сервера нес ответственность за то, что оставил сервер уязвимым?
Например, если в IIS есть известный эксплойт - Microsoft выпускает для него патч, и по причине X вы не применяете его на своем сервере, ваш сайт взломан хакерами, и в результате вы в конечном итоге заразите своих посетителей вредоносным ПО. что в конечном итоге может привести к финансовым потерям. Вы или можете быть привлечены к ответственности?
Это субъективно и явно не то, чем я занимаюсь;) просто любопытно.
Есть два отдельных вопроса ... "Могу ли я быть арестован?" и "Могу ли я получить иск?"
Эван прикрыл часть ареста и в качестве бонуса подарил нам несколько смешков!
Что касается предъявления иска ... Я могу дать некоторые рекомендации для тех из нас в США.
Здесь, в США, кто угодно может подать в суд на что угодно; вопрос в том, переживет ли костюм первоначальную проверку и проиграете ли вы. Это очень сложный вопрос из-за множества различных возможных обстоятельств. Вообще говоря, вы в безопасности, если выполняете свою работу, при условии, что это законно, даже если вы делаете это плохо. Вообще говоря, ты не безопасно если вы действуете не в соответствии со своими должностными обязанностями, не соблюдаете закон или действуете со злым умыслом.
Вообще говоря, если вы являетесь сотрудником компании, закон определяет, что компания несет ответственность за последствия ваших действий в качестве их агента, но в большинстве случаев вы не можете нести индивидуальную ответственность. Таким образом, компания может получить судебный иск и может проиграть; худшее, что вы можете получить, уволено.
Вывод ... если вы не являетесь добросовестным, законным сотрудником добросовестного, законного бизнеса, убедитесь, что у вас есть по крайней мере чистое соглашение в месте, разъясняющем вашу ответственность. А если вас не устраивает неопределенность, обратитесь к юристу.
Кроме того, вероятно, имеет смысл получить страховку «от ошибок и упущений» или страхование общей ответственности, особенно если у вас есть какие-либо ценные активы (например, дом).
Я не юрист и не даю вам юридических консультаций. Это тоже ServerFault.com, а не SuperLawyerOverflowFault.com. Я также говорю только о Соединенных Штатах в отношении Северной Америки. Канада морозная и страшная, и я ничего об этом не знаю.
При этом я не знаю ни одного штата США, в котором уголовная ответственность вступила бы в игру за то, что просто не установили исправления. Точно так же мне не известно о каких-либо штатах США, в которых оператор сервера был бы привлечен к уголовной ответственности за заражение вредоносным программным обеспечением, распространяемое со скомпрометированного компьютера.
Есть штаты США, в которых требуется раскрытие фактов утечки данных, и не раскрытие информации может привести к уголовной ответственности. Даже если ваш сервер не в таком состоянии, простое хранение данных о людях, находящихся в таком состоянии, где требуется раскрытие, может создать требование раскрытия. Предположительно, если ваши серверы были скомпрометированы, можно было бы утверждать, что утечка данных действительно произошла.
Меня больше беспокоит гражданская ответственность. Кто угодно может подать в суд на кого-либо за что угодно в любое время.
Что касается Великобритании, то любая ответственность, проистекающая из взломанного веб-сайта, будет ложиться на компанию, управляющую этим сайтом (если она вообще откроется), а не на лиц в этой компании. Для большинства компаний это означает, что их директора рискуют своими задницами.
Другое дело, что с вами сделает ваш начальник, когда узнает об этом, и зависит от вашего трудового договора.
Да.
В настоящее время я работаю с обеими сторонами (и как хозяин, и как клиент хозяина), и я обязательно буду привлекать к ответственности и себя, и своего подрядчика в случае значительных финансовых потерь.
В конечном итоге это зависит от подписанного / согласованного контракта. В нашем случае это было бы нарушение абсолютного доверия, которое выходит за рамки контрактов.