以WannaCry勒索軟件 所發動的攻擊為戒

近期由WannaCry(中文譯名為「想哭」)勒索軟件所發動的網絡攻擊,引起全球商業領域的極大震盪。這一互聯網史上歷來規模最大的勒索軟件攻擊,在2017年5月首度爆發後,導致逾150個國家的三十多萬台電腦受到感染。根據估計,是次攻擊造成了40億美元的損失。2017年6月下旬,另一個勒索軟件“Petya”也向全球電腦發動了類似攻擊。

從WannaCry和Petya在互聯網上肆虐觀之,勒索軟件對企業所造成的危害正在與日俱增。在此類典型的網絡攻擊中,黑客會使用惡意軟件來將受害者的資料加密,並威脅受害者支付贖款,否則會攔阻他們存取有關資料,甚至會將這些資料公開或刪除。本文將討論與勒索軟件攻擊有關的一些法律與實務上的問題,包括支付贖款是否合法;以及,在採取防範措施、減少損失及網絡保險等事宜的意見提供上,律師可扮演的關鍵角色。

受害者應否支付贖款?

在大多數情況下,支付贖款是否便能夠將問題解決,這是令人值得懷疑的。犯事者如被抓獲,他們可能會被控《盜竊條例》下的罪行(欺詐、勒索)、《刑事罪行條例》第60條下的罪行 (摧毀或損壞財產)、《刑事罪行條例》第161條下與「網絡罪行」有更密切關連的罪行 (有犯罪或不誠實意圖而取用電腦),以及《電訊條例》第27A條 (藉電訊而在未獲授權情況下取用電腦資料)。決意干犯該等嚴重罪行的人,即使他們於收取贖款後不履行承諾,將受害者的資料交回,他們內心也不會感到如何歉疚。縱然他們將資料交回,但受害者願意支付贖款,這在他們心目中,受害者顯然是一個「軟目標」,他們會因而被鼓勵,再度向受害者發動攻擊。

然而,有一些受害者確實會願意冒險,嘗試支付贖款。他們的此舉,其實也是可以理解的。時間緊迫所造成的壓力,使企業沒有太多選擇餘地。一些受害者會考慮運用其備份系統,將有關檔案復原;另一些受害者則會考慮聘請電腦專家,由他們來協助將有關檔案解密。然而,所有這些方法,通常都比不上直接從黑客那兒取得解密的「鑰匙」;特別是,受害者倘若並沒有定期為其電腦系統進行備份,又或是欠缺充足的財政資源或技術支援,情況尤其如此。

支付贖款的合法性

企業支付贖款的做法是否合法?這一問題不僅為受害者所關注,其保險公司也對此同樣重視。

香港目前並沒有這一方面的具體法例,而國際上也沒有任何通行法規,訂明支付贖款的行為違法。另一方面,支付贖款的人士並沒有責任將有關事宜向警方呈報 (雖然香港警方也鼓勵他們如此行)。

在Mansefield AG v Amlin Corporate Member Ltd [2011] EWCA Civ 24一案中 (那是一宗涉及索馬利亞海域附近的海盜,擄走了一艘貨船及其船員和貨物),英格蘭和威爾斯上訴法院闡明了在普通法下,支付贖款是否合法的問題。有人認為,支付贖款的行為不合法,因為此舉無疑是對海盜的所作所為給予獎勵,違反公共政策。

然而,該上訴法院不接受這一說法,並認為:

支付贖款沒有違背普世的道德規範,因為此等行為並非由侵害者,而是由面對海盜行為威嚇的受害者作出,目的是為了拯救財產以及被擄者的自由和生命。沒有人向本法庭提交任何證據,證明世界上有哪一地方,認定支付贖款的行為是不合法,儘管我們都曉得,支付贖款給海盜,確實會助長海盜行為,鼓勵他們作出更進一步的苛索。(但有一點也許必須加以說明的是,海盜與恐怖份子並不屬同一類人。今天如果是恐怖分子作出此等行為,情況也許便會不一樣。)

雖然該法院指出,針對恐怖分子的公共政策是有所不同,但在目前,它與勒索軟件所發動的攻擊並沒有太大關連。在香港,《聯合國(反恐怖主義措施)條例》第7條訂明:任何人不得提供或籌集任何財產,倘若他懷有意圖或是知道,該等財產將會用將於作出恐怖主義行為。然而,直至今天為止,在香港出現的勒索軟件攻擊,其與恐怖主義並沒有任何已知的聯繫;即使有,受害者也可能並不知情。故此,因為遭受勒索軟件的攻擊而支付贖款,不應被視作干犯上述罪行。

值得注意的是,英國的UK’s Counter-Terrorism and Security Act 2015一案訂立了一項新罪行,規定受保人如果向任何涉及或懷疑涉及恐怖主義的人士支付贖款,保險公司不得向該名受保人作出賠償。至於香港是否會實行類似規定,仍需我們拭目以待。

因資料洩漏及喪失而導致的訴訟風險

遭受勒索軟件攻擊的企業,可能會面對因為洩漏或喪失資料而提出的申索。

根據《個人資料(私隱)條例》,「資料使用者」必須遵守涉及個人資料的各個方面的保障資料原則。第四項保障資料原則規定:資料使用者必須採取切實可行的步驟,保障個人資料不會未經授權或意外地被查閱、處理、刪除、喪失或使用。

該等步驟可包括安全電腦軟件的使用。WannaCry勒索軟件的黑客,利用微軟視窗作業系統中存在的安全漏洞。儘管微軟曾經就較近期的視窗版本向用戶發送安全補丁,以協助其修補有關的安全漏洞,但並非所有用家都安裝了該些補丁。較為令人關注的問題是,面世已有16年的微軟視窗XP版本在遭受攻擊時,存在頗大的安全漏洞 (從2014年4月開始,微軟已經停止為該版本發送安全補丁)。儘管該版本已經被使用了一段很長的時間,但它現時仍然被廣泛使用。企業如果未能更新其電腦作業系統,或是下載和安裝該等向其提供的安全保丁,以致黑客有機可乘,取用或破壞其電腦系統中所儲存的個人資料,它有可能會被視作沒有採取充足步驟以防止有關事故發生,從而違反了第四項保障資料原則。

此外,根據《個人資料 (私隱)條例》第66條,任何人如因該等違反事項而蒙受損害,他們有權就該損害向有關的「資料使用者」申索補償 。因此,受害的企業必須留意,它們有可能會面對因個人資料受損、被披露、或喪失而受影響的人士向其提出民事申索 (該等人士可包括其員工、顧客及生意夥伴)。

受害者是否有權起訴軟件供應商?

因勒索軟件的攻擊而蒙受損失的一個可能追討途徑,是向其軟件存在安全漏洞的供應商提起法律程序。提出有關申索的理據,可以是基於軟件供應商所提供的軟件存在漏洞(而此等漏洞可視為「產品缺陷」),因此該供應商應當就有關的違約或疏忽承擔法律責任。然而,要成功提出此等申索也絕非輕易,因為該等軟件供應商可辯稱,它的顧客並沒有採取合理步驟來避免其遭受攻擊(例如,該顧客並沒有下載或安裝該些向其提供的安全性能更新或殺毒軟件)。

供應商與其客戶之間的許可協議,通常會包含一項標準免責條款,指明軟件公司不須為任何資料洩漏承擔法律責任。除非就該產品之目的而言,安全性能是其中一個不可或缺的部分(例如,該產品是殺毒軟件),否則該項免責條款將有很大可能通過《管制免責條款條例》中的合理性測試。

風險轉移與網絡保險

根據香港生產力促進局近期所發表的一份報告,香港在2016年所發生的安全性能事故,較2015年上升了百分之二十三。在總共6,058宗的安全性能事故中,惡意軟件的肆虐 (包括勒索軟件所發動的攻擊),是導致安全性能事故上升的主要原因,而所通報的事故數目,亦因而增加了百分之二百四十七。在這情況下,就轉移與網絡安全有關的企業風險而言,網絡保險可從中扮演一個重要的角色。雖然保單中的條款各有不同,但一般而言,它們都會包含因勒索軟件攻擊所招致的費用。例如:

  • 支付贖款:保險公司通常不會預先支付贖款;當威脅解除後,保險公司會向保單持有人返還其所已支付的贖款 (金額達至某一程度)。
  • 還原資料的費用:受害者通常會要求電腦專家協助將有關的檔案解密或是將備份還原。
  • 因業務受到干擾而蒙受的收入損失:一般而言,勒索軟件所發動的攻擊、業務干擾、和收入損失之間,必須有直接的因果關係。
  • 法證調查費用:進行法證調查的目的,是要確定受攻擊的範圍,和確定有哪些檔案已經喪失或已被加密。
  • 第三方法律責任:其保障範圍可包括因網絡事故所引致的第三方法律責任申索(例如:由客戶和供應商提出)而產生的抗辯費用和招致的民事損害賠償。其範圍包括:就安全性能及資料洩露、誹謗、私隱受到侵害和疏忽等方面而提出的申索。

投購網絡保險的人士經常對其保單如何運作,以及其保單涵蓋或不涵蓋哪些保障,都缺乏充足的了解。因此,法律顧問倘若能在其客戶簽訂保單時提供相關意見,並在進行有關商議時提供協助,這將可讓其客戶的利益得到重大保障。特別容易產生爭議,以及可能會受保單所運用的措辭影響的地方包括:因果關係、視作蒙受損失的日期、受保人所作回應的及時性和相稱性,以及受保人所採取的網絡安全措施是否充分等。

降低網絡風險的相關指引

除了網絡保險外,法律顧問也應當就網絡的安全措施向企業提供意見(事實上,倘若企業並沒有採取充分措施,它們有可能會無法根據其保單,要求保險公司作出相應賠償;在某些情況下,企業的董事或高級人員也可能需要面對承擔個人法律責任的風險)。WannaCry勒索軟件的不斷擴散,情況令人擔憂,香港證券及期貨事務監察委員會乃於2017年5月15日發出一份通函,就勒索軟件攻擊所可能帶來的風險,向所有持牌法團發出警告,並建議它們採取以下的防範措施:

  • 為電腦及網絡裝置安裝最新的保安更新程式;
  • 將裝置連接至互聯網前,應安裝並妥善設置防火牆或寬頻路由器;
  • 進行離線備份(即使用其他儲存裝置,備份後立即移除);
  • 避免打開任何可疑電郵內的連結或附件;
  • 在安全性妥為核實之前,避免將任何電腦或裝置連結至公司網絡;及
  • 確保已安裝並及時更新防毒軟件或互聯網保安應用程式。

最後,該份通函指出:企業實體應當嚴格檢視及評估其網絡保安監控措施的成效,有必要時,應當尋求外部專家的意見。

該份通函所提出的建議,事實上並非只與持牌法團有關,其他機構也應當積極關注,包括該些不須受特定行業規則監管的企業。此外,它們也應當留意證監會所發出的指引,以及由證監會、金管局、個人資料私隱專員等,就網絡安全所發出的無數通函。

然而,對於許多企業來說,該等通函所建議採取的安全措施,均涉及高昂的成本和費用,以致它們感到寸步難行。律師也許可以就:有哪些措施較有可能會被監管機構視為充分和相稱,向相關的企業提供意見。

結語

WannaCry勒索軟件所發動的攻擊以及其他類似是故,引發香港與全球各個產業,對資訊科技安全問題的極大關注。該等攻擊所導致的損失,以及須對第三方承擔的法律責任,在程度上可以十分驚人。因此,為了符合任何適用的監管規定,法律顧問應當建議企業密切留意科技的最新發展,並採取適當步驟以保護其資訊科技系統免受外來的攻擊。

然而,現實情況往往是,沒有任何一個系統是完美無瑕。企業如要避免成為勒索軟件和其他網絡攻擊的目標,便應當預先為最壞的情況作打算,確保其自身已經備有充分的保險,並已採取了廣泛的應變措施,以減輕因勒索軟件所發動的攻擊而蒙受的損失。應變的計劃應當包括:為擅長處理這方面問題的律師及技術專家所提供的緊急援助,作好充分協調的準備。

Jurisdictions: 

RPC,商業糾紛部高級律師

Ben是RPC香港辦事處有經驗的商業訴訟和仲裁律師。他的專業專注於涉及網絡法,數據保護和金融科技的複雜糾紛,往往具有跨境成份。

RPC,實習律師

Rico Chan是RPC的保險和商業糾紛小組的實習律師,處理涉及合約和股東糾紛、僱傭、專業疏忽、保險賠償、國際仲裁、監管諮詢、債務追償、清盤程序和中國相關的訴訟等之廣泛爭議事項。他對網絡法律及數據保護特別感興趣。