DoS атака: препятствие в работе или оправдание для нарушений? Рассматриваем юридическую сторону вопроса
Такой тип атаки может привести к серьезным проблемам, в том числе финансовым, для онлайн-бизнеса, который зависит от доступности своих веб-сайтов и других онлайн-сервисов. Возможно ли рассматривать DoS атаку как форс-мажорное обстоятельство в РФ?
Анализируя один договор, я заметил, что в форс-мажорной оговорке среди классических природных катаклизмов по типу урагана, цунами, землетрясения (да, всё это очень актуально для РФ), было ещё одно — DoS атака. Насколько достаточно включить это явление в перечень, чтобы оно на самом деле стало форсмажорным?
Спойлер: не всё так однозначно.
Давайте немного теории.
Что такое DoS атака?
DoS - это технический метод атаки, при котором злоумышленник пытается завалить сеть запросами, чтобы она не смогла обрабатывать запросы от других пользователей. Последствием зачастую является “падение” сайта, так что добросовестные пользователи не могут взаимодействовать с сайтом совсем. Сервер просто не отвечает на ваш запрос зайти на сайт и создается ощущение, что он отключен. Как итог: потеря пользователей, невозможность провести оплату, заключить договор, подать заявку на тендер и т.д.
Что такое форс-мажор?
Форс-мажор — в законодательстве это понятие сформулировано как “обстоятельство непреодолимой силы”, но в статье я буду говорить форс-мажор. Указано в п.3 ст. 401 ГК РФ и является законным основанием для невыполнения своих обязательств в период действия этого обстоятельства. Любое лицо может заявить своему контрагенту, что в такой-то срок он объективно не мог выполнять взятые на себя обязательства, потому что… форс-мажор.
Какие критерии отнесения того или иного явления к форс-мажору?
Это должен быть непредотвратимый случай, которому совершенно невозможно противостоять. Возьмем ураган: если он идет, вы действительно не сможете что-то предпринять, чтобы он закончился.
Что говорит ГК? Форс-мажор — это чрезвычайное и непредотвратимое при данных условиях обстоятельство. Соответственно мы не можем что-угодно рассматривать под этим понятием. Рождение ребенка непредотвратимо, но, к счастью, не чрезвычайно. Поэтому нужна совокупность: чрезвычайность + непредотвратимость.
Законодательство направлено на ординарность, обыденность, четкую определенность. Мы заключаем договор и точно осознаем, что он будет / должен быть исполнен так, как условились. Поэтому сторона, которая не получила в свою сторону надлежащего исполнения, вправе требовать такого исполнения. Ключевое для нас — это обыденность. Форс-мажор — это крайне необычное явление для местности. Оно не может быть предусмотрено заранее, мы не знаем: а наступит ли оно когда-нибудь вообще? В этом смысл критерия чрезвычайности.
Любой бизнес строится на внезапных негативных ситуациях, которые могут возникнуть. Подорожал доллар, фура не ушла на Владик, потому что заглохла. Что делает бизнесмен? Ищет выход из ситуации, чтобы исполнить договор, берёт на себя дополнительные риски, терпит убытки — одним словом противостоит всем невзгодам любыми доступными средствами. Если не были исчерпаны все объективные способы решения возникшей проблемы, то нужно их использовать. Если нет такого способа, лицо действительно бессильно против решения проблемы в разумный срок — то перед нами ситуация непредотвратимости.
Какой вывод в отношении DoS атаки?
DoS атака, по общему правилу, не может быть рассмотрена как форс-мажорное обстоятельство. Причиной этому является то, что подобная атака может быть предотвращена техническими средствами, такими как защитные программы, блокирование IP-адресов и т.д. Есть множество IT компаний, которые оказывают услуги по отражению DoS атак за разумную плату, которая явно ниже того ущерба, который может нанести злоумышленник. У крупных компаний обязательно есть свой штат IT, который занимается обслуживанием внутренних сервисов, включая поддержку серверов. В связи с этим, DoS атака не является объективно чрезвычайным и непредотвратимым обстоятельством.
Судебная практика тоже стоит на том, что если присутсвует техническая возможность защититься от атаки — значит это не форс-мажор и точка.
Однако текущая судебная практика основана на обыкновенном заявлении одной из сторон "На нас напали" без доказательств того, что все действия по предотвращению были осуществлены. В таком случае с точки зрения закона действительно нет никаких оснований указывать на форс-мажор. Почему из-за того, что одна сторона пожалела выделить бюджет на кибербез, должна страдать другая сторона, которая к этому не имеет никакого отношения? Неразумно перекладывать свои риски на невиновных лиц, поэтому практика так и сложилась.
При этом я допускаю, что при совокупности доказательств DoS можно признать форс мажором. Что для этого может потребоваться доказать и подтвердить?
- Атака была мощнее, чем средства защиты
- Были перепробованы все доступные способы отражения, которые не привели к результату
- Гео-фильтр был активирован, но должного эффекта не возымел
- и т.д.
Поэтому, анализируя свои договоры, будьте внимательны и не надейтесь, что если что-то включить, то и так сойдет и прокатит.