فراتر از انطباق قانونی: مسئولیت مدنی و مفهوم امنیت معقول در سازمان‌ها

در سال‌های اخیر، تحول ماهیت تهدیدات سایبری و افزایش وابستگی سازمان‌ها به داده و فناوری، باعث شده است که مفهوم «انطباق امنیتی» دیگر صرفاً به معنای رعایت متن خشک قوانین و مقررات نباشد. آنچه امروز در بسیاری از دعاوی حقوقی، بررسی‌های رگولاتوری و حتی ارزیابی‌های تجاری مطرح می‌شود، این پرسش کلیدی است که آیا سازمان رفتاری معقول، حرفه‌ای و هم‌راستا با رویه‌های پذیرفته‌شدهٔ امنیتی داشته است یا خیر. اینجاست که فاصلهٔ میان «عدم نقض قانون صریح» و «عدم مسئولیت حقوقی» از بین می‌رود و مفهوم مسئولیت مدنی ناشی از قصور امنیتی شکل می‌گیرد؛ دقیقاً همان نقطه‌ای که دوره مدیر امنیت سایبری CISO آکادمی روزبه با دقت روی آن دست می‌گذارد.

در حقوق مدرن، به‌ویژه در حوزهٔ مسئولیت مدنی، یکی از مبانی اصلی مسئولیت، مفهوم «قصور» یا بی‌احتیاطی است. قصور الزاماً به معنای نقض یک قانون مشخص نیست، بلکه به معنای عمل نکردن به سطحی از مراقبت است که از یک شخص یا سازمان «معقول» در شرایط مشابه انتظار می‌رود. وقتی این منطق وارد حوزهٔ امنیت اطلاعات می‌شود، سؤال دادگاه یا نهاد ناظر معمولاً این نیست که آیا فلان مادهٔ قانونی دقیقاً نقض شده یا نه، بلکه این است که آیا سازمان اقدامات امنیتی متناسب با ریسک، نوع داده‌ها، اندازهٔ سازمان و تهدیدات شناخته‌شده را انجام داده است یا خیر. اگر پاسخ منفی باشد، حتی در غیاب یک الزام قانونی صریح، زمینهٔ مسئولیت مدنی فراهم می‌شود.

در عمل، این به آن معناست که «رویه‌های درست کسب‌وکار در امنیت» از یک توصیهٔ مدیریتی یا اخلاقی فراتر رفته و به یک معیار شبه‌حقوقی تبدیل شده‌اند. سازمانی که داده‌های حساس مشتریان را نگهداری می‌کند، حتی اگر در حوزهٔ قضایی خاص خود با قانون جزئی و دقیق امنیتی مواجه نباشد، همچنان موظف است نشان دهد که از کنترل‌ها، فرآیندها و شیوه‌هایی استفاده کرده که در صنعت او به‌عنوان اقدامات معقول شناخته می‌شوند. ناتوانی در اثبات این موضوع، به‌ویژه پس از وقوع یک رخداد امنیتی، می‌تواند سازمان را در برابر دعاوی خسارت، ادعاهای مشتریان، یا حتی شکایت سهام‌داران آسیب‌پذیر کند.

یکی از دلایل اهمیت این موضوع، ماهیت پسینی بسیاری از ارزیابی‌های حقوقی است. یعنی قضاوت دربارهٔ کفایت امنیت، اغلب بعد از وقوع رخداد انجام می‌شود. در چنین شرایطی، نگاه نهاد بررسی‌کننده به عقب برمی‌گردد و بررسی می‌کند که آیا سازمان پیش از رخداد، ریسک‌ها را شناسایی کرده، برای آن‌ها تصمیم‌گیری کرده و اقدامات متناسب انجام داده است یا نه. اگر مشخص شود که هشدارها نادیده گرفته شده‌اند، ضعف‌های شناخته‌شده اصلاح نشده‌اند، یا هیچ برنامهٔ منسجمی برای مدیریت ریسک وجود نداشته، استدلال «قانونی نقض نشده بود» معمولاً دفاع قانع‌کننده‌ای نخواهد بود.

در این میان، تفاوت میان «Compliance قانونی» و «مسئولیت حرفه‌ای و تجاری» اهمیت پیدا می‌کند. Compliance قانونی حداقل‌ها را مشخص می‌کند؛ یعنی آنچه الزام‌آور است. اما مسئولیت حرفه‌ای به آنچه منطقی، معقول و متناسب با ریسک است می‌پردازد. بسیاری از چارچوب‌های مقرراتی مدرن نیز آگاهانه به‌جای تعیین کنترل‌های دقیق، از مفاهیمی مانند «اقدامات مناسب»، «تناسب با ریسک» و «سطح قابل قبول امنیت» استفاده می‌کنند. این رویکرد عملاً بار تشخیص را به دوش سازمان می‌گذارد و انتظار دارد که تصمیمات امنیتی‌اش قابل دفاع باشند، نه صرفاً منطبق با یک چک‌لیست.

از منظر تجاری نیز پیامدهای این موضوع بسیار جدی است. عدم رعایت رویه‌های پذیرفته‌شدهٔ امنیتی می‌تواند به از دست رفتن اعتماد مشتریان، لطمه به برند، کاهش ارزش سهام و افزایش هزینه‌های بیمه و دعاوی حقوقی منجر شود. در بسیاری از صنایع، شرکای تجاری و مشتریان بزرگ پیش از انعقاد قرارداد، انتظار دارند سازمان نشان دهد که امنیت را در سطحی معقول و قابل اتکا مدیریت می‌کند. در چنین فضایی، حتی بدون دخالت مستقیم قانون‌گذار، بازار و روابط تجاری خود به‌نوعی نقش تنظیم‌گر را ایفا می‌کنند.

دوره CISO آکادمی روزبه دقیقاً به همین دلیل بر این نکته تأکید دارد که امنیت و انطباق فقط مسئلهٔ تبعیت از قانون نیست، بلکه بخشی از مسئولیت حرفه‌ای مدیران امنیت و حتی مدیریت ارشد سازمان است. مدیر امنیت باید بتواند به سازمان توضیح دهد که عدم رعایت رویه‌های معقول امنیتی، چگونه می‌تواند سازمان را در معرض مسئولیت مدنی قرار دهد، حتی اگر در ظاهر، هیچ مادهٔ قانونی مشخصی نقض نشده باشد. این موضوع همچنین بُعد اخلاقی پیدا می‌کند؛ زیرا در برخی شرایط، پنهان‌کردن عدم انطباق یا ضعف‌های جدی امنیتی می‌تواند به آسیب گسترده به افراد و جامعه منجر شود و متخصص امنیت را با تعارض وجدان حرفه‌ای مواجه کند.

در نهایت، پیامی که از این تحلیل بیرون می‌آید، پیامی کاملاً مدیریتی و راهبردی است. سازمان‌ها نمی‌توانند امنیت را صرفاً به‌عنوان یک الزام حداقلی یا هزینهٔ تحمیلی ببینند. آنچه در دنیای امروز اهمیت دارد، توانایی اثبات این است که تصمیمات امنیتی آگاهانه، ریسک‌محور و هم‌راستا با رویه‌های پذیرفته‌شدهٔ حرفه‌ای اتخاذ شده‌اند. در چنین چارچوبی، حتی اگر رخداد امنیتی به‌طور کامل قابل پیشگیری نباشد، سازمان می‌تواند نشان دهد که قصوری مرتکب نشده و مسئولیت‌پذیرانه عمل کرده است. این دقیقاً همان نقطه‌ای است که دوره CISO آکادمی روزبه میان Compliance قانونی و مسئولیت حرفه‌ای و تجاری پل می‌زند و آن را به یکی از ستون‌های تفکر مدیران ارشد امنیت تبدیل می‌کند