25 juillet 2024
This article is also available in Hungarian.
Friday, 19 July 2024 will probably go down in history: Due to a faulty code in a CrowdStrike update, millions of computers worldwide came to a standstill. Airports, banks, telecommunications companies, hospitals and broadcasters were among the companies affected. Some consequences of the incident still remain.
What is probably the largest cyber incident to date has brought with it immense legal repercussions and raises numerous questions. The experts from the Disputes & Investigations and IT teams at the international law firm Taylor Wessing, Philipp Zumbo, Ivo Deskovic and Andreas Schütz, analysed the incident and have some answers.
In those cases where CrowdStrike is the direct contractual partner of the affected companies and there is no (sufficient) insurance cover for non-malicious cyber attacks, the companies would have to attempt to take direct action against CrowdStrike or its insurer.
Philipp Zumbo, CEE Head of Disputes & Investigations at Taylor Wessing, knows: "This is particularly difficult for Austrian companies because CrowdStrike's general terms and conditions not only contain extensive exclusions of liability. In some of CrowdStrike's General Terms and Conditions, the applicability of Californian law and the exclusive jurisdiction of Californian courts is agreed. However, this does not necessarily apply. Which T&Cs apply between CrowdStrike and the companies concerned, and whether these have been effectively agreed, must be examined separately in each individual case.
If, on the other hand, the contractual partner is another (EU) company that uses the CrowdStrike software - for example as a plug-in - for its own security software, claims for compensation would have to be examined primarily against this company. Also in these cases, the applicable law, jurisdiction and any limitations of liability must be clarified in advance.
No. In the case of flight cancellations, for example, the legal situation is complex because, although the Air Passenger Rights Regulation generally provides for a claim to replacement transport, there is no compensation payment if the flight is cancelled due to "extraordinary circumstances". As a rule, technical problems do not constitute extraordinary circumstances. However, if the flight cancellation is due to a technical problem at the airport, the airline is generally not liable.
In addition, numerous general terms and conditions of the companies concerned contain exclusions of liability for (slightly) negligently caused (consequential) damage and unavoidable events. "Whether such a case actually exists must be examined separately for each contractual relationship. The aforementioned limitations of liability are generally effective, at least in the B2B sector. In the B2C sector, the opposite is true," says Ivo Deskovic, Partner in the Taylor Wessing Disputes & Investigations Team.
Indirectly affected companies are faced with the problem that they do not receive the necessary advance payments from the directly affected companies, but in turn have to fulfil a performance obligation towards their own customers. While end customers, especially if they are consumers, can usually largely indemnify the indirectly affected companies, the latter must take action against their contractual partners, who are often located abroad, or directly against CrowdStrike or their insurers.
Firstly, the existing agreements with the contractual partners concerned should be checked. Requests for cover should be made to existing insurance companies. This should be done quickly: Many insurance contracts stipulate that the insurer is released from liability if the insurance notification is not made immediately; this is referred to as a breach of obligation.
IT Partner Andreas Schütz advises: "Companies should develop fallback solutions for future incidents or expand existing systems that minimise the risk of a compromise or complete failure of operational activities. In addition to establishing parallel systems to spread the risk, it is also advisable to consider taking out cyber insurance and increasing existing insurance cover if necessary. It should also be noted that, depending on the policy, there may be waiting periods of several hours for business interruptions."
2024. július 19. nagy eséllyel be fog vonulni a történelembe: a CrowdStrike frissítés hibás kódja miatt világszerte több millió számítógép állt le. A többek között számos repülőteret, bankot, távközlési vállalatot és kórházat érintő leállás hatása részben még mindig érezhető, minden idők valószínűleg legnagyobb kiberincidensének pedig hatalmas jogi következményei vannak, és számos kérdés merül fel vele kapcsolatban.
Philipp Zumbo, Ivo Deskovic, Andreas Schütz és Novák Zoltán, a Taylor Wessing nemzetközi ügyvédi iroda vitarendezési és IT szakértői megválaszolták a legfontosabbakat.
Azokban az esetekben, amikor a CrowdStrike az érintett vállalatok közvetlen szerződéses partnere, és a biztosítás nem vagy nem elegendő mértékben fedezi a nem rosszindulatú kibertámadásokat, a vállalatoknak közvetlenül a CrowdStrike vagy annak biztosítója ellen kell megpróbálniuk fellépni.
„Ez különösen nehéz az európai vállalatok számára, egyrészt mivel a CrowdStrike általános szerződési feltételei széles körű felelősségkizárásokat tartalmaznak. Másrészt, a CrowdStrike ÁSZF-jének egy része a kaliforniai jog alkalmazhatóságát és a kaliforniai bíróságok kizárólagos joghatóságát írja elő, bár ez nem feltétlenül érvényesül. Azt, hogy a CrowdStrike és az érintett vállalatok között mely ÁSZF-ek alkalmazandók, és hogy ezekről érvényesen megállapodtak-e, minden egyes esetben külön-külön kell megvizsgálni” – mondja Philipp Zumbo, a Taylor Wessing közép- és kelet-európai vitarendezési csoportjának vezetője.
Ha viszont a szerződéses partner egy másik (uniós) vállalat, amely a CrowdStrike szoftverét - például plug-in-ként - saját biztonsági szoftveréhez használja, a kártérítési igényeket elsősorban ezzel a vállalattal szemben kell megvizsgálni. Ezekben az esetekben is előzetesen tisztázni kell az alkalmazandó jogot, a joghatóságot és a felelősség esetleges korlátozását.
Továbbá, a károsult fél elméletileg képes lehet a CrowdStrike-kal szemben is igényt érvényesíteni a szerződésen kívüli felelősség szabályai alapján, feltéve, hogy nincs szerződéses kapcsolata (még közvetett se) a vállalattal. Ez lenne a helyzet például akkor, ha a CrowdStrike szoftvert használó egyes földi kiszolgáló társaságok működésének összeomlása késéseket vagy járattörléseket okozó hullámhatásokat eredményezne olyan légitársaságoknál, amelyek maguk nem támaszkodnak a CrowdStrike szoftverre és az érintett földi kiszolgáló társaságokra. Ilyen esetben a károsultak senkivel szemben nem érvényesíthetnének „szerződésszegési” igényt, mivel nem állnak szerződéses kapcsolatban a kárt közvetlenül vagy közvetve okozó felekkel. Ez megnyitná az utat a szerződésen kívüli felelősségen alapuló kártérítési követelés előtt, ahol a felelősségi sztenderdek és a joghatósági szabályok jelentősen eltérnek a közvetlen szerződéses kapcsolatoktól. Novák Zoltán szerint „tekintettel a felelősség eltérő sztenderdjeire és a CrowdStrike ÁSZF-jének tartalmára, a CrowdStrike-kal semmilyen (közvetlen vagy közvetett) szerződéses kapcsolatban nem álló jogalanyok akár jobb helyzetben is lehetnek ahhoz, hogy sikeres kártérítési igényt érvényesítsenek a CrowdStrike-kal szemben, mint azok, akik (közvetlen vagy közvetett) szerződéses kapcsolatban állnak a társasággal.” A körülményektől függően, a CrowdStrike ÁSZF-jében foglalt kiterjedt felelősségkorlátozások nélkül, hazai bíróságok előtt is érvényesíthetik követeléseiket, annak a helynek a joga alapján, ahol a kár bekövetkezett.
Nem. A járattörlések esetében például a jogi helyzet bonyolult, mert bár a légi utasok jogairól szóló rendelet általánosságban rendelkezik a helyettesítő szállításra való jogosultságról, másrészről viszont nem jár kártalanítás, ha a járatot „rendkívüli körülmények” miatt törlik. A műszaki problémák általában nem minősülnek rendkívüli körülménynek, ha azonban a járat törlése a repülőtéren felmerült műszaki problémára vezethető vissza, a légitársaság általában nem felelős.
Ezenkívül az érintett társaságok számos ÁSZF-je tartalmazza a (nem súlyos) gondatlanságból és elháríthatatlan eseményekből eredő (következmény) károkért való felelősség kizárását. „Azt, hogy ilyen eset valóban fennáll-e, minden egyes szerződéses jogviszony esetében külön-külön kell megvizsgálni. A fent említett felelősségkorlátozások általában nagyrészt érvényesek, legalábbis B2B relációban. B2C relációban ennek inkább az ellenkezője igaz” - mondja Ivo Deskovic, a Taylor Wessing partnere, a vitarendezési csoport tagja.
A közvetetten érintett vállalatok azzal a problémával szembesülhetnek, hogy nem kapják meg a szükséges teljesítéseket a közvetlenül érintett vállalatoktól, viszont saját ügyfeleikkel szembeni kötelezettségeiket teljesíteniük kell. Míg a végfelhasználók, különösen, ha fogyasztók, általában könnyen kártérítést érvényesíthetnek a közvetetten érintett vállalatokkal szemben, ez utóbbiaknak a gyakran külföldön található szerződéses partnereik ellen kell fellépniük, esetleg közvetlenül a CrowdStrike vagy a biztosítók ellen.
Először is, ellenőrizni kell az érintett szerződéses partnerekkel fennálló megállapodásokat. A kompenzáció iránti kérelemmel a meglévő biztosítótársaságokhoz kell fordulni, ráadásul gyorsan. Számos biztosítási szerződés rendelkezik arról, hogy a biztosító mentesül a felelősség alól, ha a biztosítási bejelentés nem történik meg azonnal.
Andreas Schütz, IT partner , a következőket tanácsolja: „A vállalatoknak olyan tartalékmegoldásokat kell kidolgozniuk a jövőbeli incidensek esetére, vagy azokat a meglévő rendszereket kell bővíteniük, amelyek minimalizálják a veszélyeztetettség vagy az operatív tevékenységek teljes kiesésének kockázatát. A kockázat megosztása érdekében párhuzamos rendszerek létrehozása mellett célszerű megfontolni a kiberbiztosítás megkötését és szükség esetén a meglévő biztosítási fedezet növelését is. Azt is figyelembe kell venni, hogy a biztosítás feltételeitől függően több órás várakozási idő is vonatkozhat az üzemszünetekre.”
par plusieurs auteurs
par Ivo Deskovic