- COMP.SEC.100
- 4. Laki ja säädökset
- 4.14 Yhteenveto: Oikeudellinen riskienhallinta
Yhteenveto: Oikeudellinen riskienhallinta¶
Oikeudellisia kysymyksiä ensimmäistä kertaa pohtiva saattaa havaita ilmiöstä vain yhden osan: säädökset. Vaikka mukana olisi sovellusalan, lainvalinnan, täytäntöönpanon ym. ongelmat, saattaa huomiotta jäädä paljon muuta, joka on otettava huomioon oikeudellisen riskin analysoinnissa.
Tarkastellaan tilannetta, jossa Liisalla on mahdollisuus nostaa kanne Pekkaa vastaan. Liisa saattaa tehdä niin tai jättää tekemättä. Jos hän tekee niin, hän saattaa voittaa tai hävitä. Pekan riski sille, että päädytään Liisan voittoon riippuu myös:
- Liisan kyvystä todistaa suhteessa Pekan kykyyn kumota todisteet;
- Pekan kyvystä todistaa puolustavat argumenttinsa suhteessa Liisan kykyyn kumota nämä todisteet;
- Pekan kustannuksista, jos Liisa voittaa. Näihin kuuluvat myös oikeudenkäynnin kulut.
Edellä kuvattu punninta toimii hyvin tilanteessa, jossa Pekalla on jo uhka Liisan oikeustoimista. Tämän alaluvun loppuosa esittelee näkökulmia oikeudellisten riskien etukäteiseen hallintaan.
Suurimpien riskien tunnistaminen. Henkilön toiminnan luonne auttaa tunnistamaan, mitkä säännökset ovat hänelle tärkeimpiä. Esimerkiksi pankit, teleoperaattorit sekä lääketieteellisten ja juridisten palvelujen tarjoajat ovat perinteisesti hyvin tietoisia tarpeestaan etsiä ja ylläpitää asianmukaiset luvat toiminnalleen. Pelipalveluiden tarjoajat ovat myös hyvin tietoisia toimintaansa koskevien lakien laajasta kirjosta. Kaikki yritykset ovat erittäin tietoisia tarpeesta ymmärtää veroihin liittyvät velvollisuutensa.
Vaikutus ihmishenkeen. Tiukka kustannus-hyötyanalyysi voi olla hyödyllinen operatiivisia päätöksiä tehtäessä, mutta se tulee ongelmalliseksi ihmishenkiä ja turvallisuutta koskevissa asioissa. Ihmishenkien suojelemiseksi ja henkilövahinkojen korvaamiseksi säädettyjä lakeja ja määräyksiä tulee kunnioittaa erityisesti. Tällaisten sääntöjen noudattamatta jättäminen herättää moraalisia ja eettisiä huolenaiheita ja voi myös johtaa poikkeuksellisiin tai rankaiseviin toimenpiteisiin, kun näitä sääntöjä pannaan täytäntöön.
Asianmukainen huolellisuus (due diligence) suhteessa tunnistettuihin riskeihin. Mikään yritys ei pyydä asianajajaa etsimään kaikkia maailman lakeja, jotka saattavat päteä kaikkeen, mitä yritys tekee. Tyypillisen due diligence -strategian mukaan tunnistetaan ja tutkitaan ensin sellaiset lait, jotka voivat vaikuttaa tuhoisasti liiketoimintaan. Muut lait ja määräykset, ulkomaita myöten, voivat nousta esiin yrityksen kasvaessa tai muuttuessa luonteeltaan.
Käytännön rajoituksia alueelliselle täytäntöönpanovallalle. Verkkokaupan aikakaudella jotkin yritykset saattavat säikähtää mahdollisia oikeudellisia velvoitteita suhteessa satoihin valtioihin, joiden asukkailla on pääsy sivuston sisältöön. Jotkin voivat lopettaa toimintansa tämän takia. Useimmat muut yrittävät omaksua pragmaattisia lähestymistapoja, joihin kuuluu suodattamalla tai muuten estää pääsy sellaisista maista, jotka luokittelevat tuotteen tai palvelun laittomaksi.
Siviilivelvoitteen rikkomisen suhteelliset kustannukset. Rikoksen tekeminen on eri asia kuin siviilivelvoitteen noudattamatta jättäminen. Joskus siviilioikeudelliseen kanteeseen vastaamisen kustannukset ovat pienemmät kuin vaatimusten noudattamisesta aiheutuvat kustannukset. Yleisimmin tämä tapahtuu kaupallisen sopimuksen yhteydessä, kun siitä on tullut epätaloudellista toteuttaa, tai siviilioikeudellisen vaatimuksen yhteydessä, kun siihen liittyy kiinteä taloudellinen seuraamus. Sopivissa olosuhteissa voi laskea, että velvoitteesta luopuminen ja vahingonkorvauskanteen rahallisen riskin hyväksyminen on halvempaa kuin vastaavan velvoitteen täyttäminen.
Riskit henkilökohtaiselle maineelle, turvallisuudelle ja vapaudelle. Kyberturvallisuuden harjoittajat joutuvat toisinaan tilanteisiin, joissa heitä houkutellaan tai kehotetaan rikkomaan lakia. Tässä tilanteessa tulee muistaa, että voi henkilökohtaisesti kärsiä tekojensa seurauksista riippumatta siitä, mitä kannustimia työnantaja tai asiakas on tarjonnut.
Täytäntöönpanon todennäköisyys. Joskus henkilöt, joilla on lailliset oikeudet, päättävät olla toteuttamatta niitä. Esimerkiksi vähäisen liikevahingon seurauksena pienen vahingon kärsineen henkilön nostaman kanteen riski voi olla pieni. Riski kasvaa merkittävästi, jos lukuisten tällaisten henkilöiden oikeudet voidaan yhdistää ryhmäkanteeksi.
Todisteiden keräämisen, säilyttämisen ja esittämisen haasteet. Sekä laillisten oikeuksien valvominen että puolustautuminen vaatimuksilta riippuvat kyvystä todistaa itse esitetyt tai kumota vastustajan esittämät kiistanalaiset tosiasiat. Pitää harkita etukäteen, mitkä asiat edellyttävät todisteita, jos vastapuoli hyökkää oikeusteitse, ja miten todisteita voidaan kerätä ja säilyttää ennakoivasti. On tärkeää myös säätää kaikkien soveltuvien tietojen säilytysparametreja, jotta asiakirjojen rutiininomainen hävittäminen ei aiheuttaisi ongelmia tässä suhteessa.
Sijaisvastuu (vicarious liability) tarkoittaa työnantajan (tai muiden, joilla on alaisia) vastuuta alaistensa tekemisistä. Ainoa varma tapa vähentää sitä on vaikuttaa työntekijöiden käyttäytymiseen siten, että heidän vastuuseen johtavien tekojensa määrä vähenee. Tämä tulee ottaa huomioon esim. tietoturvapolitiikassa sikäli kuin siinä tavoitellaan vastuun vähentämistä kolmansia osapuolia kohtaan.
Riskialttiita toimintoja voi lokalisoida erillisiin rajoitetun vastuun oikeushenkilöihin. Tämä on monimutkainen aihe, joka vaatii huolellista suunnittelua.
Oikeusjärjestelmän ulkopuoliset oikeudelliset riskit. Joissakin olosuhteissa suurin oikeustoimista tai niiden uhasta koituva riski ei ole tekemisissä sääntelyn itsensä kanssa. Se voi syntyä mahdollisen oikeustoimen vaikutuksesta organisaation maineeseen tai valtiolta saatavien liiketoimintalupien ylläpitoon.
Lait voivat muuttua. Yhteiskunnat ja niiden päättäjät ovat tulossa yhä tietoisemmiksi kyberturvallisuudesta. Tämän myötä valtiot ja niiden edustajat voivat lisätä täytäntöönpanotoimia, tarkastella uudelleen nykyistä politiikkaa ja puuttua nopeasti tilanteeseen päivitetyillä tai uusilla laeilla.