Potrebbe / dovrebbero essere ritenuti responsabili per le vulnerabilità del server?

Esiste un precedente in Nord America o altrove where un amministratore del server è stato ritenuto responsabile per aver lasciato un server vulnerabile?

Ad esempio, se c'è un exploit noto in IIS – Microsoft rilascia una patch per esso e per ragione X non lo applica sul tuo server, il tuo sito è compromesso dagli hacker e di conseguenza finisci per infettare i tuoi visitatori con malware che potrebbe eventualmente causare perdite finanziarie. Sei tu o potresti essere ritenuto responsabile?

Questo è soggettivo e ovviamente non è qualcosa che faccio;) solo curioso.

  • Gruppi di protezione Amazon EC2 - intervalli IP
  • in openssh, posso specificare un command da eseguire per each tentativo di accesso?
  • Sicurezza del computer - raccomandazioni di video o podcast
  • Sono sotto DDoS. Cosa posso fare?
  • Devo includere il certificato CA principale quando crei un certificato incatenato
  • Impersonazione dell'autorità di certificazione
  • Come posso impedire a Virtualmin di memorizzare le password in un text chiaro?
  • leggere l'authorization di scrittura in root dell'unità c: in Windows XP
  • 4 Solutions collect form web for “Potrebbe / dovrebbero essere ritenuti responsabili per le vulnerabilità del server?”

    Non sono un avvocato e non ti consiglio legale. Anche questo è ServerFault.com, non SuperLawyerOverflowFault.com. Sto parlando solo degli Stati Uniti re: "America del Nord". Il Canada è gelido e spaventoso e non so nulla.

    Detto questo, non sono a conoscenza di Stati USA where la responsabilità penale sarebbe entrata in gioco per semplicemente non installare patch. Allo stesso modo, non sono a conoscenza di Stati statunitensi che avrebbero detenuto l'operatore di un server criminale responsabile per le infezioni software dannose diffuse da un computer compromesso.

    Ci sono stati degli Stati Uniti in cui è richiesta la divulgazione di violazioni dei dati e, in mancanza di divulgazione, può comportre una responsabilità penale. Anche se il tuo server non è in un tale stato, solo la memorizzazione di dati su persone situate in uno stato in cui è necessaria la divulgazione può creare il requisito di divulgazione. Presumibilmente se i tuoi server sono stati compromessi potrebbe essere affermato che si è verificata una violazione dei dati.

    Sarei più preoccupata per la responsabilità civile. Chiunque può citare qualcun altro per qualsiasi cosa in qualsiasi momento.

    Ci sono due domande distinte: "posso essere arrestato?" e "posso farsi citare?"

    Evan ha coperto la parte arrestata e ci ha dato qualche risata come bonus!

    Per quanto riguarda il fatto di essere citato in giudizio .. posso dare qualche guida per quelli di noi negli Stati Uniti .

    Qui negli Stati Uniti, è ansible farsi citare per niente da nessuno; le domande sono se il sopravvento sopravviverà nella prima revisione e se si perderà. Questa è una questione molto complessa a causa della varietà di diverse circostanze possibili. In generale , sei sicuro se stai facendo il tuo lavoro, a condizione che sia legale, anche se lo fai male. In generale , non sei sicuro se stai agendo al di fuori dei whereri di lavoro, non seguendo la legge o agendo con malizia.

    In generale , se sei un impiegato di un'impresa, la legge specifica che l'attività è responsabile per le conseguenze delle tue azioni come agente, ma non potete in molti casi essere responsabili individualmente. Quindi l'azienda può essere citata e può perdere; il peggio che si potrebbe get è licenziato.

    La toletta … se non sei un impiegato legittimo in una buona fede e legittima attività, assicurati di avere alless un accordo nudo che chiarisce la tua responsabilità. E se non sei a tuo agio con l'incertezza, vedi un avvocato.

    Inoltre, è probabile che vale la pena di get un "errore o omissione" o un'assicurazione di responsabilità generale, in particolare se si dispone di beni di valore (come una casa).

    Parlando per il Regno Unito, qualsiasi responsabilità derivante da un sito web hacker potrebbe ricadere sulla società che gestisce quel sito (se si ritorna affatto) e non agli individui di questa società. Per la maggior parte delle aziende questo significa che i loro registi hanno i loro asini sulla linea.

    Quello che il tuo capo fa con te quando scopre, è un'altra cosa del tutto e dipende dal tuo contratto di lavoro.

    Sì.

    Attualmente lavoro su entrambi i lati (sia come ospite che cliente di un host) e sicuramente ritengo sia io che il mio imprenditore responsabile in caso di perdite finanziarie significative.

    In definitiva, questo dipende dal contratto che è stato firmato / accettato. Nel nostro caso sarebbe una violazione della fiducia assoluta, che va oltre i contratti.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.