W poprzednim poście sygnalizowaliśmy rosnące ryzyko ataków cybernetycznych, które wg niektórych szacunków mogą wygenerować szkody rzędu 6 bilionów dolarów w samym 2021 roku. Wystarczy spojrzeć na szkody wywołane atakiem NotPetya w 2017 r., który wstrząsnął największymi firmami na świecie i uznawany jest przez niektórych za przykład wojny cybernetycznej. Wraz z rozwojem e-commerce i nowych technologii, wzrostem liczby osób pracujących zdalnie i korzystających z mediów społecznościowych, ryzyka cybernetyczne tylko rosną. Nie ma wątpliwości, że w nowej rzeczywistości, bezpieczeństwo cybernetyczne staje się podstawowym aspektem funkcjonowania biznesu.

Dlatego jest niezwykle ważne, aby przyjąć pewne podstawowe zasady zarządzania ryzykiem cybernetycznym. Poniżej omawiamy te, które mają szczególne znaczenie z perspektywy prawnej. Zasady podzielone są na 3 etapy: (i) etap zapobiegania ryzykom, (ii) etap reagowania na powstałe zagrożenie cybernetyczne oraz (iii) etap usuwania skutków incydentu cybernetycznego.

 

Zapobieganie ryzykom cybernetycznym

Najważniejsze z perspektywy ochrony biznesu jest minimalizowanie ekspozycji na ryzyka cybernetyczne. Kluczowe w tym wypadku są 3 działania:

  • audyt istniejącego systemu IT i wewnętrznych procedur bezpieczeństwa;
  • opracowanie i wdrożenie zmian aktualnego systemu zabezpieczeń oraz procedur bezpieczeństwa, celem usunięcia zidentyfikowanych ryzyk (ważna współpraca doradcy IT oraz doradcy prawnego) i dostosowania do specyfiki biznesowej;
  • ubezpieczenie ryzyk cybernetycznych – ubezpieczenia te z produktu niszowego ewoluują i stają się powszechne na rynku. W przypadku skorzystania z ubezpieczenia należy pamiętać o dostosowaniu procedur wewnętrznych do wymogów ubezpieczyciela i wyłączeń zawartych w ogólnych warunkach ubezpieczenia.

Praktycznym testem dla efektywności powyższych działań może być zaangażowanie „etycznych hakerów” i przeprowadzenie tzw. „kontrolowanych incydentów” cybernetycznych w celu przetestowania wypracowanego modelu.

 

Reagowanie na incydenty cybernetyczne

Procedura bezpieczeństwa powinna określać szczegółowe zasady postępowania w razie wystąpienia incydentu cybernetycznego. Zasady te powinny być dostosowane do charakteru incydentu, specyfiki sektora (inne zasady będą obowiązywać w przypadku dostawców usług kluczowych w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa) oraz potrzeb danego biznesu. Najważniejsza jest identyfikacja i klasyfikacja zagrożenia m.in. z uwzględnieniem następujących kryteriów:

  • Czy doszło do wycieku danych, w tym danych osobowych lub danych stanowiących tajemnicę przedsiębiorstwa?
  • Czy istnieje ryzyko zainfekowania innych podmiotów (partnerów, podwykonawców czy dostawców)?
  • Czy możliwość realizacji zleceń została ograniczona?
  • Czy incydent ma wpływ na jakość / bezpieczeństwo produkowanych towarów?

W praktyce niezwykle istotne okazuje się często szybkie powołanie zespołu w celu zarządzenia cyberincydentem. Zespoły te składają się zwykle z doradców IT, doradców prawnych oraz przedstawicieli ubezpieczyciela. Interdyscyplinarny zespół pomoże ograniczyć związane ze zdarzeniem ryzyka biznesowe i prawne.

Ważne jest również niezwłoczne ograniczenie eskalacji zagrożenia: w przypadku cyberataku złośliwym oprogramowaniem należy ograniczyć rozprzestrzenianie się wirusa na inne urządzenia.

Wreszcie, we współpracy z doradcą prawnym, warto:

  • zidentyfikować obowiązki notyfikacji cyberincydentu do właściwych regulatorów rynku, kontrahentów oraz podmiotów, których dane wyciekły. Szczegółowe wymogi notyfikacyjne mogą przewidywać regulacje sektorowe, postanowienia umowne oraz – w stosunku do niektórych podmiotów – ustawa o krajowym systemie cyberbezpieczeństwa z 2018 r.
  • rozważyć współpracę z CERT (https://www.cert.pl/) oraz powiadomienie organów ściągania o podejrzeniu popełnienia przestępstwa przeciwko bezpieczeństwu informacji.
  • wypracować strategię zarządzania ryzykiem prawnym: roszczeniami osób trzecich, problemami regulacyjnymi, czy ryzykiem związanych z niewykonaniem umów. Konieczne może być wynegocjowanie odpowiednich porozumień z podmiotami prywatnymi i publicznymi, w tym organami regulacyjnymi, a także uzgodnienie wdrożenia odpowiednich mechanizmów bezpieczeństwa na przyszłość.

Usuwanie skutków

Incydent cybernetyczny może dotknąć każdego, niezależnie od stosowanych zabezpieczeń. Często incydent następuje wskutek ludzkiego błędu, czasami ma charakter celowego ataku hackerskiego nakierowanego na uzyskanie okupu. W każdym przypadku ważne jest, aby wyciągnąć z niego wnioski. Po każdym incydencie warto dokonać krytycznego przeglądu istniejącego systemu IT oraz procedur bezpieczeństwa, w celu wdrożenia niezbędnych zmian.