Microsoft có thể bị kiện trong vụ tấn công mạng toàn cầu?

(PLO) - Các doanh nghiệp không cập nhật hệ điều hành Windows của Microsoft và bị ảnh hưởng bởi vụ tấn công mạng xảy ra cuối tuần qua có thể bị kiện vì không đảm bảo các biện pháp an ninh mạng nhưng bản thân Microsoft lại được bảo vệ mạnh mẽ khỏi khả năng bị kiện, Reuters dẫn các chuyên gia pháp lý cho hay.
Ảnh minh họa
Ảnh minh họa

Theo thống kê, kể từ cuối tuần qua cho đến nay, mã độc tống tiền WannaCry đã ảnh hưởng tới tổng cộng hơn 200.000 máy tính sử dụng hệ điều hành Windows trên toàn thế giới. Mã độc này đã gây gián đoạn hoạt động của các nhà máy sản xuất ô tô, hãng vận chuyển toàn cầu FedEx, gây gián đoạn hoạt động của Cơ quan y tế quốc gia của Anh, khiến nhiều ca phẫu thuật phải hoãn lại. Ngoài ra, rất nhiều đơn vị khác cũng đã bị ảnh hưởng bởi vụ việc. 

Các chuyên gia về an ninh mạng cho biết công cụ tấn công mạng đã âm thầm lan giữa các máy tính, mã hóa các dữ liệu khiến những máy tính bị tấn công không thể bật lên. Thủ phạm tấn công mạng sau đó yêu cầu người sử dụng máy tính trả 300 USD tiền chuộc để mở ra. Các thông tin đến nay cho thấy WannaCry đã khai thác lỗ hổng trong các phiên bản Windows cũ hơn, trong đó có Windows 7 và Windows XP. 

Ông Edward McAndrew, một luật sư về dữ liệu riêng tư tại Ballard Spahr, cho rằng các doanh nghiệp có thể sẽ phải đối mặt với các đơn kiện nếu không thể cung cấp dịch vụ vì vụ tấn công vừa xảy ra. “Có thể có những vấn đề liên quan đến trách nhiệm phát sinh trong vụ tấn công bằng mã độc. Đó là trách nhiệm với các cá nhân, người tiêu dùng và bệnh nhân”, ông McAndrew nói.

Còn ông Christopher Dore – một luật sư về luật bảo mật số - nói rằng việc sử dụng các phiên bản Windows lỗi thời và không còn được hỗ trợ phát sinh nhiều vấn đề. “Việc đó có thể bị cho là sự cẩu thả có chủ ý khi tiếp tục sử dụng những hệ điều hành cũ”, ông nhận định.

Ông Dore cũng cho rằng các công ty đã bị gián đoạn hoạt động vì không cập nhật các bản vá lỗi của Microsoft hay sử dụng các phiên bản Windows cũ có thể sẽ phải đối mặt với những đơn kiện nếu có vấn đề phát sinh từ tình hình an ninh mạng của các công ty này.

Sau vụ LinkedIn bị tấn công mạng hồi năm 2012, công ty của ông Dore đã kiện LinkedIn, cáo buộc công ty này đã tuyên bố sai với những người mua tài khoản được bảo vệ của công ty rằng công ty đã thực hiện các biện pháp an ninh mạng chất lượng cao. Năm 2014, LinkedIn đã phải chi 1,25 triệu USD để dàn xếp vụ việc. 

Song, ông Scott Vernick – một luật sư về bảo mật dữ liệu – nói rằng ông không nghĩ sẽ có nhiều đơn kiện của khách hàng phát sinh sau vụ tấn công bằng mã độc WannaCry vì cho đến nay chưa có dấu hiệu cho thấy vụ tấn công mạng gây ra việc rò rỉ thông tin cá nhân trên diện rộng. “Cho đến nay chưa thấy có bằng chứng rõ ràng cho thấy các khách hàng bị thiệt hại bởi vụ việc”, ông nói. Thay vào đó, ông Vernick cho rằng các công ty bị tấn công mạng ở Mỹ có thể bị Ủy ban thương mại liên bang Mỹ đưa vào diện giám sát. Trước đó, Ủy ban này cũng đã kiện nhiều công ty vì không thực hiện các biện pháp bảo mật dữ liệu.

Trong khi đó, các chuyên gia luật cho rằng bản thân Microsoft nhiều khả năng sẽ không phải đối mặt với rắc rối pháp lý vì lỗ hổng trong Windows đang bị WannaCry khai thác. Theo Microsoft, các máy tính bị ảnh hưởng bởi mã độc đòi tiền chuộc không có bản vá bảo mật cho các phiên bản khác nhau của Windows được cài đặt hay đang sử dụng hệ điều hành Windows XP – hệ điều hành đã cũ và công ty hiện không hỗ trợ. 

Hồi tháng 3 vừa qua, Microsoft đã phát hành cập nhật an ninh nhằm ngăn chặn WannaCry và các mã độc khác ở hệ điều hành Windows 7. Sau khi vụ tấn công xảy ra, cuối tuần qua, công ty này cũng đã phát hành một bản vá tương tự cho Windows XP dù công ty từ năm 2014 đã tuyên bố không hỗ trợ các vấn đề an ninh liên quan đến hệ điều hành cũ này. Ngoài ra, khi bán phần mềm, Microsoft cũng đưa ra thỏa thuận cấp phép, theo đó khẳng định công ty không chịu trách nhiệm về các vụ xâm phạm an ninh mạng. Các tòa án cho đến nay vẫn luôn tôn trọng thỏa thuận này, ông Michael Scott, một giáo sư tại trường luật Southwestern, cho biết. 

Một bên khác được nhắc đến trong vụ việc là Cơ quan an ninh quốc gia của Mỹ (NSA) cũng nhiều khả năng không phải chịu trách nhiệm về vụ việc dù công cụ tấn công mạng sử dụng trong vụ việc được cho là do cơ quan này phát triển. Bởi, theo ông Jonathan Zittrain, giáo sư về luật internet tại Đại học Luật Harvard, nói rằng các tòa án thường bác bỏ các đơn kiện chống lại NSA với lý do những đơn kiện này có thể dẫn đến việc làm lộ bí mật nhà nước.

Thêm vào đó, NSA hoàn toàn có thể sử dụng quyền miễn trừ, theo đó nói rằng chính phủ không thể bị kiện khi thực hiện nhiệm vụ để tránh bị truy cứu pháp lý. 

Đọc thêm