Апелляционный суд подтвердил непричастность DigitalOcean к крипто-взлому, устанавливая ключевой прецедент
Федеральный апелляционный суд подтвердил решение о том, что облачный провайдер DigitalOcean не несет ответственности за кражу криптовалюты на миллионы долларов. Это решение закрепляет важнейший прецедент, ограничивающий ответственность поставщиков услуг за инциденты безопасности на контролируемых клиентами платформах. Иск возник после взлома в 2021 году, в результате которого с сервера клиента было похищено цифровых активов на сумму более 14 миллионов долларов.
Ключевым вопросом стала применимость Пользовательского соглашения DigitalOcean. Суд подтвердил, что оговорка об обязательном арбитраже и отказ от коллективных исков являются правомерными. Апелляционный суд Второго округа США отклонил доводы клиента о недействительности арбитражной оговорки, оставив в силе решение о передаче спора в арбитраж и прекращении судебного разбирательства.
Этот спор ярко иллюстрирует сложные отношения между облачными провайдерами и их клиентами в вопросах безопасности. DigitalOcean, как поставщик инфраструктуры как услуги (IaaS), успешно доказал, что предоставляет лишь базовые вычислительные ресурсы, но не управляет операционными системами, приложениями или настройками безопасности клиента. Решение суда укрепляет стандартное отраслевое разграничение ответственности.
Суд четко обозначил, что провайдер IaaS отвечает за безопасность облака как такового, то есть базовой инфраструктуры. Клиент же несет полную ответственность за безопасность в облаке — свои данные, приложения и контроль доступа. Это суровое напоминание компаниям, особенно в криптосекторе, что аутсорсинг инфраструктуры не означает аутсорсинг конечной ответственности за защиту.
С точки зрения кибербезопасности, дело подчеркивает непреложную важность модели совместной ответственности. Организации, использующие IaaS, обязаны внедрять собственные строгие меры защиты. Взлом, о котором шла речь, стал возможным из-за уязвимостей в стеке приложений самого клиента, а не из-за сбоя инфраструктуры DigitalOcean.
Для индустрии данное постановление подтверждает критическую необходимость четких договорных условий и проведения клиентами тщательной проверки. Компании должны абсолютно точно понимать, какие элементы безопасности обеспечивает провайдер, а какие остаются их собственной зоной ответственности, требующей постоянного контроля и инвестиций.
