Cuộc chiến pháp lý của Liên minh tín dụng Bessemer System với gã khổng lồ công nghệ Fiserv

BSFCU được thành lập cách đây 75 năm bởi các nhân viên Đường sắt Bessemer và Lake Erie ở Greenville, bang Pennsylvania. Hiện nay, BSFCU cung cấp các dịch vụ tín dụng cộng đồng cho quận Mercer, bang Pennsylvania. Fiserv là một trong những công ty Fintech lớn nhất thế giới, được xếp hạng 205 trong Fortune 500 và có giá trị thị trường khoảng 80 tỷ USD.

Vào tháng 8/2018, lỗi bảo mật trong nền tảng Fiserv cho phép một khách hàng xem địa chỉ email, số điện thoại và số tài khoản ngân hàng đầy đủ của một khách hàng khác đã được phát hiện. BSFCU sau đó đã thực hiện đánh giá bảo mật của riêng mình và phát hiện thêm các lỗ hổng trong trang web ngân hàng trực tuyến mà Fiserv đã cung cấp.

Theo BSFCU, Fiserv đã đáp lại bằng một 'thông báo gây hấn', cố gắng bịt miệng Bessemer bằng cách đe dọa truy tố dân sự và hình sự nếu Bessemer thảo luận về các vấn đề an ninh của Fiserv với các bên thứ ba, bao gồm cả các khách hàng khác của Fiserv.

Cuối cùng, Bessemer kiện Fiserv và Fiserv kiện ngược lại Bessemer. Và tất nhiên, Bessemer đã đệ đơn bác bỏ yêu cầu phản tố của Fiserv. Đó là theo ​​Biên bản Ghi nhớ của Thẩm phán Robert J. Colville về đề nghị của Bessemer, được đưa ra vào ngày 15/9/2021.

Yêu cầu phản tố của Fiserv khẳng định "vi phạm hợp đồng, vi phạm nghĩa vụ thiện chí và đối xử công bằng, và 'Phí và Chi phí Phục hồi Hợp đồng của Luật sư'". Phần lớn điều này xoay quanh việc rà soát bảo mật của Bessemer, mà Fiserv tuyên bố là vi phạm Thỏa thuận chính giữa hai bên. Công ty công nghệ mô tả việc rà soát bảo mật đó là một 'cuộc tấn công brute force' (dò thử tất cả các khả năng).

Fiserv tuyên bố rằng động cơ đằng sau cuộc tấn công mạng là để tạo ra một vi phạm có thể được sử dụng để bêu xấu và tống tiền Fiserv, buộc họ làm theo yêu cầu của Bessemer về các hóa đơn chưa thanh toán. Hàm ý là việc rà soát bảo mật được sử dụng để biện minh cho những nỗ lực thiếu thiện chí, từ chối thanh toán phí chấm dứt hợp đồng sớm và các hóa đơn khác khi đến hạn. Bessemer tuyên bố việc rà soát bảo mật của họ là "một cuộc điều tra hoàn toàn vô hại và ... bắt buộc về các biện pháp bảo mật được thực hiện bởi Fiserv Solutions".

Thẩm phán Colville từ chối bình luận về những tuyên bố khác nhau này và nói “tại thời điểm này, Tòa án chỉ có hai mô tả hoàn toàn trái ngược nhau về 'đánh giá bảo mật', với hai mô tả gần như không có điểm chung nào về bản chất chính xác của hoạt động máy tính liên quan, động cơ của Bessemer và/hoặc thông tin đã được Bessemer truy cập và/hoặc mua lại”.

Bessemer đề nghị bác bỏ yêu cầu phản tố vi phạm hợp đồng 'có thành kiến', cho rằng Fiserv đã không thực hiện hợp đồng, trong khi Bessemer không vi phạm. Bessemer cũng tuyên bố rằng nên loại trừ yêu cầu phản đối phí luật sư của Fiserv: “Cách thức thích hợp sẽ là để Fiserv đưa các khoản phí trong đề nghị giảm nhẹ, chứ không phải để khẳng định một yêu cầu độc lập. Sự khác biệt này có ý nghĩa quan trọng bởi nếu các tuyên bố khác của Fiserv bị bác bỏ,  họ sẽ không thể duy trì trạng thái là nguyên đơn phản đối chỉ dựa trên điều khoản về phí luật sư".

Cuối cùng, thẩm phán đã đồng ý với Bessemer về phí luật sư, nhưng không tìm thấy căn cứ để bác bỏ phần còn lại trong yêu cầu phản tố của Fiserv. Ông kết luận, “tòa án sẽ chấp nhận một phần và từ chối một phần đề nghị bác bỏ các phản đối của Bessemer (ECF số 92). Đề nghị sẽ được coi là "phản đối" của Fiserv Solutions đối với "việc thu hồi các khoản phí và chi phí luật sư theo hợp đồng" và bị từ chối ở tất cả các khía cạnh khác."

Bessemer không chấp nhận và cuộc chiến sẽ tiếp tục. Giám đốc điều hành Joy Peterson đã đưa ra tuyên bố: “BSFCU rất quan tâm đến việc đánh giá bảo mật phát hiện ra các vấn đề bảo mật quan trọng tại Fiserv khiến các thành viên của chúng tôi có nguy cơ bị đánh cắp danh tính và gian lận. Chúng tôi đã chấm dứt (hợp đồng với) Fiserv và đang thực hiện các hành động pháp lý thích hợp chống lại Fiserv vì các lỗi bảo mật lặp đi lặp lại.

Hiện tại, yêu cầu của Bessemer chống lại Fiserv phần lớn vẫn còn nguyên vẹn và đang tiếp diễn, trong khi yêu cầu phản tố của Fiserv chống lại Bessemer cũng tương tự như vậy.

Thông điệp cho các tổ chức đang tìm cách bảo vệ doanh nghiệp của họ với sự trợ giúp của các sản phẩm bảo mật là hãy hết sức cẩn thận với những gì mình ký. Đó chính là lý do tại sao nhiều giám đốc an ninh thông tin chỉ chấp nhận các hợp đồng có thời hạn. Việc gia hạn một hợp đồng được chứng tỏ thành công sẽ dễ dàng hơn là thoát khỏi một hợp đồng không thành công. Các tổ chức cần nhận được sự hỗ trợ từ luật sư trước khi ký thỏa thuận dịch vụ /dịch vụ bảo mật và đảm bảo nhân viên nội bộ của mình hoặc một nhà tư vấn CNTT bên ngoài có thể xác minh khả năng của nhà cung cấp.

Cần chú trọng xem xét bảo hiểm trách nhiệm an ninh mạng của nhà cung cấp dịch vụ, yêu cầu được thêm vào như một đối tượng được bảo hiểm bổ sung trong các trường hợp thích hợp và xem xét yêu cầu sử dụng trọng tài ràng buộc đối với hợp đồng chính. Việc đưa nhau ra tòa không có lợi cho cả nguyên đơn hoặc bị đơn, vì nó khiến cả hai bên phải gánh thêm trách nhiệm pháp lý với bên thứ ba.

 Ngoài ra, khách hàng cũng nên lưu ý rằng việc phụ thuộc mù quáng vào các nhà cung cấp dịch vụ sẽ khiến tòa án sẽ đánh giá không tốt về tổ chức của mình và hợp đồng dịch vụ khó giúp cho tổ chức tránh được trách nhiệm pháp lý khi có sự cố an ninh nghiêm trọng. Về phía các nhà cung cấp, bài học ở đây là đừng trình bày sai hoặc cố gắng tô vẽ cho khả năng của mình. Nếu không chắc về một khả năng thì đừng quảng cáo. Những tuyên bố sai lệch về khả năng thực tế có thể khiến nhà cung cấp dịch vụ phải trả giá khi ra trước tòa.