Многие считают, что DDoS-атаки могут являться форс-мажором. Учитывая это мнение, нерадивые компании IT-сферы готовы оправдывать ими свои огрехи и недоработки, иногда даже включая упоминание о них в пункты своих договоров. И правда, очень удобно в случае любого ЧП сказать своему недовольному клиенту: «Извини, дорогой, DDoS-атаки все сломали, мы здесь ни причем». В этой статье мы расскажем почему DDoS-атака не может считаться форс-мажорным обстоятельством и на конкретном кейсе разберем как его применяют хостинг-провайдеры, включая пункты о нем в свои договоры.
Что же такое форс-мажор?
Форс-мажор или, согласно российскому законодательству, Непреодолимая сила – это чрезвычайные и непредотвратимые обстоятельства, которые делают невозможным надлежащее исполнение принятых обязательств в наступивших условиях. Согласно ст. 401 ГК РФ обязанность доказательства наступления таких обстоятельств лежит на стороне, нарушившей свои обязательства. При этом абсолютно любое обстоятельство не может быть признано форс-мажором, так как он должен отвечать одновременно четырем критериям:
Быть чрезвычайным, т.е. исключительным для заявляющей о непреодолимой силе стороны, наступление которого не является обычным в его деятельности;
Быть непредотвратимым, это означает, что ЛЮБОЙ участник гражданского оборота, осуществляющий подобную деятельность, не смог бы избежать наступления данного обстоятельства и его последствий;
Быть непреодолимым, т.е. повлечь невозможность исполнения обязательств;
Не должно зависеть от воли или действий должника.
А теперь давайте применим эти критерии к DDoS-атакам на компании из IT-сферы, или конкретно к хостинг-провайдеру, раз уж речь дальше пойдет об одной из них.
Являются ли DDoS-атаки для хостинг-провайдера чем-то исключительным? – Нет, напротив их сервера подвергаются таким атакам постоянно, а значит борьба с их влиянием должна быть рутинной деятельностью.
Была ли заявленная DDoS-атака непредотвратимой? – Как заявитель обстоятельств сможет доказать, что защита любой работающей в отрасли компании с ней бы не справилась? Никак.
После совершения DDoS-атаки исполнитель продолжает осуществлять свою деятельность или действие непреодолимой силы было кратковременным?
Могло ли случившееся зависеть от воли исполнителя?
Полагаю, что достаточно ознакомиться с ответами на 2 первых вопроса, чтобы понять: DDoS-атаки не могут быть признаны обстоятельством непреодолимой силы.
Кейс «Веселой Совы»
«Веселая Сова» — небольшой семейный интернет‑магазин, 10 лет занимающийся продажей настольных игр. Все это время сайт магазина хостится в «Таймвеб», сначала располагаясь на виртуальном хостинге, а по мере роста перебрался на VDS. Среди заказанных и оплаченных магазином в «Таймвебе» услуг — аренда VDS‑сервера, достаточного для обеспечения стабильной работы сайта, и его резервное копирование.
19 апреля 2023 года ровно в 16:00 сайт магазина vsova.ru перестал быть доступен. При заходе в личный кабинет аккаунта «Таймвеб» сервер обнаружен не был. На экстренное обращение в Техническую поддержку провайдера с вопросом «Где наш сервер?», был получен ответ: «Он удален! Кто его удалил мы не знаем, если не Вы, то мы будем разбираться, логи у нас есть». На просьбу развернуть резервную копию был получен отрицательный ответ, так как «она удаляется вместе с сервером»!
Оставим за скобками эту архитектуру хранения данных в «Таймвеб», а обратимся к их официальному комментарию о произошедшем, полученному на следующий день:
«В указанную выше дату на серверах нашего хостинга мы обнаружили активные вредоносные скрипты. Данные скрипты использовались для осуществления DDoS‑атак типа NXDOMAIN — массового перебора несуществующих доменов, что в указанный промежуток времени вызвало высокую нагрузку на рекурсивные DNS‑серверы, через которые скрипты посылали вредоносные запросы, и спровоцировало их последующий отказ.
В результате этого наши внутренние DNS‑серверы стали отвечать с задержкой или отказывать вовсе, что вызвало дополнительную проблему в работе внутренних сервисов.
В этих условиях библиотека, которая используется для получения информации о вашем аккаунте, повела себя некорректно, посчитав, что он неактивен уже длительное время. Это привело к сбою, в результате которого по независящим от нас причинам были удалены все сервисы и бэкапы. Данные форс‑мажорные обстоятельства, вызванные работой вредоносных скриптов и DDoS‑атакой на наши информационные ресурсы, не позволили нам в указанные время и дату исполнить согласованные договором обязательства по оказанию услуг (пункт 8.1 — 8.3 Публичной оферты ООО «ТаймВэб»).»
Здесь мы видим заявление о наступлении форс‑мажорного случая без приведения каких‑либо доказательств, но даже если опустить данное обстоятельство, хостинг‑провайдеры прямо ограничивают свою ответственность внося в договор следующий пункт:
«Исполнитель не несет ответственности за неполученную прибыль и упущенную выгоду, а также за любые косвенные убытки, понесенные Заказчиком в период использования или неиспользования им услуг Исполнителя. Возмещение убытков Заказчику Исполнителем ограничивается суммой реального документально подтвержденного ущерба в размере, не превышающем стоимости услуг в месяц на тарифном плане Заказчика.»
Может ли что‑то сделать понесшая ущерб сторона? Как модно сейчас говорить: «Не все так однозначно», но об этом мы расскажем в следующей статье. Продолжение следует.