パッチが適用されていないサーバーに対する法的リスク
CISSPの10のドメインの1つが法務/ガバナンスであるため、これが質問するのに最適な場所であると考えました。
私は最近、非営利団体のセキュリティ評価を行いました。彼らのシステムには注意が必要であることがわかりました。ネットワークに機密データがないからといって、まだ危険にさらされていることを明確にしたいと思います。 1つのポイントは、誰かがあなたのサーバーに違法なファイルを置いた場合、あなたが責任を負うということです。
他の例はありますか?他に何も見逃さないようにしたいと思います。ちなみに、これらのペナルティのいくつか(時間/金銭的料金)を正確に見つけることができる場所を誰かが知っていますか?
コンピュータの侵害(個人情報の開示を含まない)に対する責任は法的に非難されないというのは依然としてほとんどの場合です。データのプライバシーに関しては多くの法律が制定されていますが、コンピューティングリソース自体の保護に関する限り、実際には標準はありません。インターネット上の「重大な過失」は、基本的に存在しない標準です。したがって、最終的な責任のために、あなたはおそらく非常に安全な場所にいます。
とはいえ、訴訟が提起され、法的代理人を含む裁判所関連の費用が発生することを妨げるものは何もありません。サーバーの誤用を調査しても料金は発生しない可能性がありますが、証拠として保管されている間、サーバーを長期間失う可能性があります。少なくとも米国の法執行機関は、非常に迅速なターンアラウンドで知られていません。
パッチの適用は通常、これらの結果のいずれよりもはるかに安価です。
法的な問題は非常にトリッキーであり、国や管轄区域によって(時には劇的に)変化します。明確な法律や規制(たとえば、英国/ EUのプライバシー保護)がある場合でも、罰金/罰金は通常非常に小さく、「捕まる」可能性はさらに低くなります。違反があったとされる場合もありますが、事業は気にせず、結果として罰則が科せられなかったり、罰金が少なかったりしました。
「違法ファイル」(それが何であれ)を配置すると、法的な違反としてカウントされる場合とされない場合があり、ペナルティが課される場合とされない場合があります。場合によっては、ファイルを削除し、ペナルティを回避するために、より適切な保護を設定したことを示すだけで十分です(つまり、「キャッチされた」後)。
そのことを念頭に置いて、法的なリスクは、企業や組織がデータを保護する必要がある理由を強調するための良い方法かもしれません。説得力のある議論をするだけでは不十分かもしれません。おそらく、他の理由(会社の財務詳細の公開、評判の悪さ、会社のイメージの悪さ)を見つける方が簡単です。
もちろん、あなたの国の弁護士は私よりもはるかに良いアドバイスをしてくれるでしょう。特にこれらの分野(著作権、プライバシー、eコマースなど)を専門としている場合
そしてもちろん、私はそのIANALについて言及するのを忘れました。