Hakerzy szantażują biznes i ściągają haracz w bitcoinach. To dopiero początek

Nasilone ataki cyberprzestępców

Piątkowe popołudnie w polskiej firmie. Pracownicy myślą już o weekendzie. Nagle na skrzynkę mailową jednego z nich trafia wiadomość "Pilne: przypomnienie o fakturze do zapłaty". Lekko poddenerwowany pracownik zastanawia się, czy rzeczywiście zapomniał o dopełnieniu obowiązków. Pobiera w pośpiechu załącznik z fakturą do zapłaty zawarty w wiadomości. Mija kilka sekund i... komputer samodzielnie się resetuje. A gdy system uruchamia się na nowo - na monitorze pojawia się komunikat: "Ups! Ważne pliki na Twoim komputerze zostały zaszyfrowane! Nie próbuj szukać pomocy - jedynie my możemy je odblokować. Wystarczy, że przelejesz na wskazane poniżej konto jednego bitcoina (obecny kurs bitcoina to ok. 33,5 tys. zł - red.)". Kilka sekund później takie same wiadomości pojawiają się na kolejnych komputerach w firmie. Brzmi jak fragment scenariusza do filmu "Hakerzy"?

Niestety, podobna sytuacja z wykorzystaniem programu ransomware, czyli szyfrującego pliki na komputerze i proponującego ich odszyfrowanie dopiero po zapłacie okupu, zdarzyła się już w niejednej polskiej firmie. I wkrótce może dotknąć kolejne...

Masowy problem

Zagrożenie atakami hakerów jest poważnym problemem nie tylko dla mniejszych firm, lecz także gigantów technologicznych, którzy inwestują miliony dolarów w systemy bezpieczeństwa informatycznego. Pokazuje to ostatni przykład ataku na firmę Uber, którego CEO Dara Khosrowshahi przyznał, że przedsiębiorstwo dotknął w ubiegłym roku atak hakerski, w wyniku którego wyciekły dane... 57 mln użytkowników! Co więcej, Uber postanowił wówczas zapłacić 100 tys. dol. hakerom, by nie ujawniali tego włamania. Wszak mogłoby to poważnie nadszarpnąć zaufanie użytkowników do aplikacji. W ten poniedziałek serwis Imgur poinformował, że w 2014 r. hakerzy wykradli mu dane 1,7 mln użytkowników służące do logowania - adresy e-mail i hasła dostępu.

Jak wyliczyła w swoim ostatnim raporcie firma Bitdefender, jeden z największych graczy w sektorze cyberbezpieczeństwa, w ubiegłym roku firmy straciły przez tego typu i inne cyberataki łącznie 209 mln dol., a w tym roku będzie to już 5 mld. Co więcej - w 2018 r. straty mają osiągnąć 180 mld, by rok później przekroczyć astronomiczną barierę 2 bln dol.

Nieco mniejszych w skali, ale poważnych wycieków danych osobowych doświadczamy również w Polsce. W sierpniu br. serwis Zaufana Trzecia Strona poinformował, że w wyniku włamania hakerów na serwery firmy InPost wyciekły m.in. dane 60 tys. osób (pracowników, współpracowników oraz osób upoważnionych do przetwarzania danych osobowych w firmie), lista 1,3 tys. użytkowników różnych systemów wraz z ich hasłami, lista ponad 30 tys. kontrahentów oraz ponad 70 tys. różnego rodzaju umów.

Wojciech Laskowski, ekspert Narodowego Centrum Bezpieczeństwa działającego w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK), mówi nam, że problem będzie coraz poważniejszy. Tylko we wrześniu i październiku br. Narodowe Centrum Bezpieczeństwa w NASK zanotowało aż 165 zgłoszeń o atakach z użyciem ransomware. Jak podkreśla Wojciech Laskowski, liczba zgłoszeń rośnie. - Wzrost liczby kampanii ransomware na świecie jest spowodowany prawdopodobnie skutecznością tego typu ataków. Ludzie są bowiem stale podatni na perswazję, czasami bywają nieuważni. Dodatkowo są bardzo mocno uzależnieni od przetwarzania danych cyfrowych. Stąd duże prawdopodobieństwo, że tracąc do nich dostęp, są skłonni do wielu poświęceń, w szczególności finansowych, w celu ich odzyskania. Należy przypuszczać, że dopóki takie ataki będą skuteczne i będą przynosiły cyberprzestępcom wymierne korzyści, dopóty obserwowane trendy się nie zmienią - komentuje Wojciech Laskowski.

Problem dostrzegany jest w Brukseli. W rezolucji Parlamentu Europejskiego z 3 października 2017 r. w sprawie walki z cyberprzestępczością (2017/2068) czytamy: "(...) Cyberprzestępczość tak przybiera na intensywności, złożoności i skali, że w niektórych państwach UE liczba zgłaszanych przypadków cyberprzestępczości przewyższa liczbę przypadków tradycyjnej przestępczości. Cyberprzestępczość rozszerza się też na inne obszary przestępczości, takie jak handel ludźmi, wykorzystywanie narzędzi szyfrujących i służących do anonimizacji do celów przestępczych. Ataki z użyciem oprogramowania typu ransomware przewyższają zaś tradycyjne zagrożenia złośliwym oprogramowaniem, np. trojanami".

@RY1@i02/2017/233/i02.2017.233.18300110a.801.jpg@RY2@

Cyberprzestępczość - problem, z którym (nie) radzą sobie firmy

Jak zapobiegać włamaniom?

Kopie bezpieczeństwa i odpowiednie programy to tylko podstawa. O wiele istotniejsze jest szkolenie pracowników i rozwijanie świadomości, że atak może nastąpić w każdej chwili, pod różnymi postaciami

Słowa Hipokratesa "Lepiej zapobiegać niż leczyć" odnoszą się idealnie nie tylko do ludzkiego zdrowia, lecz także do ochrony systemów komputerowych przed atakami hakerskimi. Michał Czuma, prezes zarządu w kancelarii doradców biznesowych G+C, a w przeszłości szef departamentów bezpieczeństwa i przeciwdziałania oszustwom w PKO SA, przedstawia nam kilka metod, które mogą uchronić przed opłakanymi skutkami przeniknięcia przestępców do systemów firmy.

Programy

Każdy system powinien być chroniony programami: firewallem oraz antywirusem. Oba powinny być stale aktualizowane i mieć ustawioną w opcjach możliwość bieżącego pobierania baz danych zawierających informacje o nowych zagrożeniach. Włączona powinna być również opcja automatycznego pobierania aktualizacji w systemie operacyjnym używanym w firmie. A sam system operacyjny powinien być aktualny - w polskich firmach często używa się systemów, które nie są już aktualizowane od kilku lat (jak np. Windows XP). Często właściciele firm tłumaczą, że posiadają wewnętrzne aplikacje, które nie będą działać w nowym środowisku Windowsa. Powinni jednak wiedzieć, że takie działanie jest jak zostawienie uchylonej furtki.

WAŻNE

Jak wyliczyła firma Bitdefender, w ubiegłym roku firmy straciły przez cyberataki łącznie 209 mln dol., a w tym roku będzie to już 5 mld dol.

Jeśli firma może sobie na to pozwolić, to powinna powołać zespół bezpieczeństwa informatycznego, który czuwać będzie na miejscu w przedsiębiorstwie. Na rynku są też firmy świadczące usługę monitorowania bezpieczeństwa systemów w ramach podwykonawstwa. Jeżeli jakikolwiek pracownik zabiera pracę do domu, to na jego prywatny komputer również należy wgrać oprogramowanie antywirusowe, a nośniki danych zabezpieczyć hasłem lub programem szyfrującym. Bardzo duża część wirusów przenika do firm (nawet tych dobrze zabezpieczonych) właśnie przez zewnętrzne nośniki danych przynoszone przez pracowników z domu.

Kopie bezpieczeństwa

Warto okresowo tworzyć kopie bezpieczeństwa najistotniejszych danych w firmie. Powinny być one składowane na niezależnym systemie odłączonym od internetu bądź na zewnętrznych dyskach twardych. W sprzedaży dostępne są też dyski zewnętrzne (np. podłączane przez złącze SATA lub USB) automatycznie pobierające dane bieżące, ale takie rozwiązanie nie jest polecane przez ekspertów. - Kiedy ransomware zacznie szyfrować pliki, dostanie się do zamontowanych dysków oraz udziałów sieciowych i zaszyfruje też kopie zapasowe danych - tłumaczy Michał Czuma.

Jeżeli firma okresowo robi kopie zapasowe danych, to w przypadku ataku hakerskiego nie będzie miała problemów z tym, by skasować całe oprogramowanie ze wszystkich zainfekowanych komputerów i tym samym pozbyć się wirusa. A i przy okazji uniknąć konieczności wydawania pieniędzy na usługi informatyczne bądź zapłatę okupu cyberprzestępcom. Kopie danych można również przechowywać w chmurach, czyli wynajmowanych zewnętrznych serwerach, które samodzielnie dbają o bezpieczeństwo składowanych plików (jak pokazuje jednak praktyka - one też nierzadko padają ofiarami hakerów).

Szkolenia pracowników

W firmie warto również przeszkolić pracowników, w jaki sposób mają postępować z plikami pobieranymi z internetu. Wiele przedsiębiorstw wprowadza również zakaz instalacji jakichkolwiek programów bez konsultacji z informatykiem.

- Warto wyczulić pracowników na otwieranie plików z nieznanych źródeł. Złośliwe oprogramowanie wysyłane w formie załączników do e-maili najczęściej ma podwójne rozszerzenie (np. pdf.pif, z.pdf albo pdf.exe) lub jest spakowane ZIP-em lub RAR-em na hasło (w celu ominięcia oprogramowania antywirusowego na serwerze pocztowym). Nie wolno pod żadnym pozorem otwierać takich plików ze spakowanych na hasło archiwum, przesłanych e-mailem, nawet jeśli wyglądają, jakby pochodziły od instytucji, z których usług korzystamy. Najlepiej od razu kasować takie e-maile z poczty - przestrzega Michał Czuma.

A co, gdy pracownik pobierze podejrzany plik? Ekspert radzi natychmiast uruchomić program antywirusowy, który przeskanuje komputer. Dobre systemy potrafią bowiem powstrzymać rozprzestrzeniającego się w systemie wirusa, jeszcze zanim zdoła on zaszyfrować ważne dane.

Nie panikować. Ale czy płacić?

Jak zareagować na żądania wysuwane podczas ataku ransomware? Eksperci radzą: zachować zimną krew

Gdy po restarcie komputera przedsiębiorca zastanie informację, że jego pliki zostały zaszyfrowane, a oszust zażąda, żeby zapłacić mu określoną kwotę (najczęściej w kryptowalucie bitcoin przesyłanej na określony wirtualny portfel) - to nie należy jeszcze panikować. Należy jednak działać szybko, bo cyberprzestępcy często dają określony czas, po którym kwota okupu wzrasta.

Jeśli zatem firma zatrudnia informatyków, to warto ich wezwać. Powinni wiedzieć, jak postępować w takich sytuacjach. Co jednak, jeśli specjalistów w firmie nie ma? W sieci można wówczas poszukać firm, które specjalizują się w odszyfrowywaniu danych. Wysyła im się jakikolwiek zaszyfrowany plik (najlepiej mało istotny, by nie narażać firmy na wyciek danych), po czym otrzymuje się program przeciwdziałający szyfrowaniu.

Podobnie działa witryna Nomoreransom.org, która współpracuje z Europolem, firmami informatycznymi oraz organami ścigania z państw członkowskich (w tym z polską policją i CERT Polska). Udostępnia ona za darmo narzędzia deszyfrujące.

Jeśli zawiodły szybkie próby odszyfrowania danych, to pozostają dwie drogi: szukać pomocy w państwowych instytucjach (np. CERT Polska bądź w sekcji ds. cyberprzestępczości policji) lub zapłacić okup.

Podzielone zdania

W ocenie Michała Czumy w przypadku ransomware pójście na policję mija się jednak z celem. - Policja w mojej ocenie nie jest dzisiaj w ogóle przygotowana do zwalczania większości cyberprzestępstw. Jej wyspecjalizowany dział zajmuje się głównie oszustwami, wyłudzeniami, podrabianiem znaków towarowych, mową nienawiści w przestrzeni internetowej oraz sprzedażą nielegalnych papierosów czy alkoholu oraz handlem pornografią dziecięcą w internecie. Niestety możliwości kadrowe, techniczne oraz fakt, iż pracują tam policjanci, a nie osoby mogące konkurować z doświadczonymi hakerami, wpływają na skuteczność w zakresie cyberataków - uważa Michał Czuma. Według niego jeśli wszystkie inne metody zawiodą, okup należy... zapłacić. Wbrew pozorom zapłacenie jest skuteczne i jeszcze nie odnotowano przypadku, by przestępcy nie dotrzymali zobowiązania odszyfrowania danych.

NASK: nie uginać się

Zgoła innego zdania jest Wojciech Laskowski z NASK. - Nie jest zalecane płacenie okupu, ponieważ nie ma żadnej gwarancji na odszyfrowanie danych przez przestępców. Istnieje też ryzyko infekcji kolejnym złośliwym programem - podkreśla Laskowski. Podobnie uważa przedstawiciel policji.

PYTANIA DO EKSPERTA

Wydziały do walki z cyberprzestępczością są już w każdym województwie

@RY1@i02/2017/233/i02.2017.233.18300110a.802.jpg@RY2@

Podkomisarz Robert Opas rzecznik prasowy Komendy Głównej Policji

Czy warto płacić okup cyberprzestępcom? Nie ma przecież pewności, że nawet po jego zapłacie dane zostaną odszyfrowane. Albo że cyberprzestępca nie zostawi sobie furtki w systemie firmy, która ułatwi mu kolejny atak.

Zapłata okupu może przynieść oczekiwany efekt, jednak w znacznej liczbie przypadków otrzymanie okupu nie mobilizuje przestępców do odblokowania utraconych danych. Należy mieć na uwadze, że ponowny kontakt może być dla przestępcy ryzykowny z uwagi na możliwość pozostawienia przypadkowych śladów, a w efekcie jego identyfikację. Zapłata okupu nie jest jednoznaczna z oczyszczeniem zainfekowanego systemu. Należy pamiętać, że w każdym przypadku uprzednio zainfekowany system powinien zostać poddany szczegółowemu sprawdzeniu.

A jeśli nie udało się zapobiec cyberatakowi - jak wtedy się zachować? I w jaki sposób może pomóc policja?

W przypadku stwierdzenia kradzieży danych, podobnie jak w przypadku pozostałych typów przestępstw informatycznych, niezwykle ważny jest czas. Wśród pierwszych czynności, jakie należy podjąć w sytuacji podejrzenia popełnienia przestępstwa, powinien być jak najszybszy kontakt z właściwą jednostką policji oraz zabezpieczenie wszelkich możliwych danych cyfrowych wskazujących na działalność przestępcy. Są to m.in. logi systemowe i serwerowe, historia aktywności internetowej oraz wszelka treść korespondencji z przestępcą, jeżeli taka miała miejsce. Jeżeli zainfekowane urządzenie wchodzi w skład infrastruktury sieciowej, to zalecamy również jego odłączenie i odizolowanie od sieci internet. Jeżeli chodzi o możliwość szybkiego kontaktu z właściwą jednostką policji, to w każdej komendzie wojewódzkiej policji, komendzie stołecznej oraz w Centralnym Biurze Śledczym funkcjonują wyspecjalizowane wydziały do walki z cyberprzestępczością, które na co dzień zajmują się realizacją spraw związanych z przestępczością internetową. Natomiast w Komendzie Głównej Policji funkcjonuje Biuro do Walki z Cyberprzestępczością, które pełni całodobowy dyżur w oczekiwaniu na zaistniałe zdarzenia.

No właśnie, przedsiębiorca musi działać szybko. Służby też powinny, ale przecież policja nie ma nadmiaru ludzi w swoich szeregach...

Walka z cyberprzestępczością wymaga dużych nakładów sił i środków. Mamy tego świadomość - w zeszłym roku decyzją komendanta głównego policji zostało powołane Biuro do Walki z Cyberprzestępczością KGP, które z powodzeniem realizuje powierzone mu zadania. Proszę też mieć na uwadze, że cyberprzestępczość ma szczególnie istotny wymiar międzynarodowy.

Współpracują państwo z zagranicznymi służbami?

Tak, w ramach naszej pracy szczególną uwagę przykładamy do ścisłej współpracy z organami ścigania państw całego świata oraz instytucjami wyspecjalizowanymi do zwalczania przestępczości, takimi jak Europol, FBI czy Interpol.

Czy polskie firmy są dobrze przygotowane na cyberataki?

Z naszych obserwacji wynika, że polskie przedsiębiorstwa są dość dobrze przygotowane oraz mają warunki techniczne pozwalające na odpieranie ataków, o których mowa. Można stwierdzić, że w naszych firmach stosuje się bardziej rygorystyczne polityki bezpieczeństwa niż w bardziej rozwiniętych gospodarczo krajach europejskich. Niemniej jednak wciąż jedną z głównych przyczyn infekcji systemów informatycznych złośliwym oprogramowaniem jest działanie pracownika. Często nie należy klasyfikować tego jako błąd, lecz bardziej jako brak świadomości zagrożeń. W obecnej sytuacji jest niezmiernie ważne, aby polscy przedsiębiorcy skupili szczególną uwagę na prowadzeniu kampanii informacyjnych oraz szkoleń poprawiających stan świadomości własnej oraz swoich pracowników. Wiele ataków jest specjalnie przygotowanych i wymierzanych właśnie w kadrę zarządzającą.

Jak rozsądnie zabezpieczyć się przed atakami hakerskimi oraz wymuszeniami z użyciem ransomware?

W pierwszej kolejności należy pamiętać, aby dbać o podnoszenie wiedzy i świadomości zagrożeń. Co za tym idzie: nie należy otwierać podejrzanych załączników oraz linków do stron internetowych, jeżeli nie mamy pewności, skąd pochodzą, lub jeśli się ich nie spodziewaliśmy. Warto pamiętać, aby system operacyjny oraz aplikacje były na bieżąco aktualizowane. Należy dbać o regularne sporządzanie kopii zapasowych swoich danych, aby bez konieczności opłacania okupu móc szybko odzyskać dostęp do kluczowych informacji. Pamiętajmy jednak, aby pliki kopii znajdowały się poza systemem operacyjnym lub środowiskiem sieciowym, ponieważ mogą one również zostać zaszyfrowane. Przy wyborze zabezpieczeń warto skorzystać z renomowanych rozwiązań, które są w stanie wykrywać zagrożenia typu ransomware. Zalecamy również, aby w trakcie codziennej pracy nie używać kont administratora, które posiadają pełne uprawnienia dostępowe do plików systemowych.

Czy policja prowadzi wśród przedsiębiorców akcje edukacyjne dotyczące cyberbezpieczeństwa?

Staramy się za pośrednictwem wielu kanałów propagować informacje o bezpiecznym użytkowaniu internetu i nie tylko. Często gościmy na licznych konferencjach branżowych oraz prowadzimy kampanie edukacyjne we współpracy z polskimi uczelniami. W tym roku polska policja stała się oficjalnym partnerem projektu NoMoreRansom, który został stworzony w 2016 r. w wyniku współpracy holenderskiej policji, Europolu oraz firm Intel Security i Kaspersky Lab. Celem tego projektu jest dostarczenie ofiarom przestępstw porad i bezpłatnych narzędzi służących do odszyfrowywania danych utraconych w wyniku ataku ransomware. Jak wynika z oficjalnych raportów, powyższa inicjatywa od początku działalności rozszerzyła się o ponad 100 partnerów z obszaru organów ścigania oraz sektora prywatnego, jest dostępna w 26 językach oraz obecnie oferuje 54 narzędzia deszyfrujące. Dzięki temu projektowi ponad 29 000 ofiar mogło odszyfrować swoje pliki za darmo, pozbawiając przestępców szacowanej kwoty ok. 8 mln euro okupu.

Czy problem cyberprzestępczości wobec polskich firm narasta?

Kradzież danych za pośrednictwem systemów informatycznych jest jednym z najczęstszych przestępstw, z jakimi stykamy się w trakcie naszej codziennej pracy. Choć należy mieć świadomość, że w wielu przypadkach firmy prywatne w obawie o ryzyko poniesienia strat wizerunkowych nie ujawniają informacji o wycieku danych. Podobnie sprawa wygląda w odniesieniu do ataków typu ransomware. Wraz ze stałym rozwojem technologii informatycznych rośnie poziom przestępczości popełnianej za pośrednictwem internetu. Jak wynika z oficjalnego raportu oceny zagrożeń IOCTA 2017, przygotowanego przez Europol, w roku ubiegłym stwierdzono znaczny wzrost liczby plików złośliwego oprogramowania typu ransomware. Sięgał aż 750 proc. w porównaniu do 2015 r.

Z czego to może wynikać?

Jednym z głównych powodów takiego stanu rzeczy jest z pewnością możliwość szybkiego spieniężania efektów przestępczej działalności oraz poczucie anonimowości, które na szczęście w wielu przypadkach okazuje się mylne. Ponadto należy zauważyć, że w obecnym stanie prawnym przestępstwa polegające na kradzieży danych zagrożone są stosunkowo niską karą, co może zachęcać do zmiany profilu działalności przestępczej z pospolitej na internetową. Policja wspólnie z właściwymi organami krajowymi podejmuje obecnie wiele inicjatyw zmierzających do poprawy tego stanu rzeczy.

W Komendzie Głównej Policji funkcjonuje Biuro do Walki z Cyberprzestępczością, które pełni całodobowy dyżur w oczekiwaniu na zaistniałe zdarzenia. Nasi funkcjonariusze współpracują też z zagranicznymi służbami

ⒸⓅ

Rozmawiał Jakub Styczyński

W mediach pojawiają się niekiedy opinie, że jest szansa, by odzyskać pieniądze, jeśli za tę wątpliwą usługę zapłacono kartą płatniczą. Innego zdania jest Tomasz Dyrda, associate partner w zespole zarządzania ryzykiem nadużyć w EY. - Mało który przestępca decyduje się na wyłudzanie płatności kartą płatniczą i w standardowych walutach. Są one przecież relatywnie łatwe do wyśledzenia. Dlatego też okupu żąda się głównie w kryptowalutach takich jak bitcoin - zwraca uwagę Dyrda. Ponadto dodaje, że odzyskanie pieniędzy z wykorzystaniem procedury Chargeback jest wątpliwe. - Przedsiębiorca przecież świadomie płaciłby okup i nie mógłby się tłumaczyć przed bankiem, że został wprowadzony w błąd - podkreśla ekspert.

Zleceniodawca nie jest bezkarny

Nie każdy atak hakerski jest autonomiczną inicjatywą przestępców. W praktyce część z nich może działać... na zlecenie innego przedsiębiorcy. Ale uwaga: zleceniodawca nie jest bezkarny. Grozi mu odpowiedzialność karna oraz cywilna

W sieci roi się od ogłoszeń hakerów gotowych do dokonania tego typu ataków. - Zlecenie ataku 24-godzinnego na konkurencyjną firmę to koszt w granicach 400 dol. Wiele osób stać na prowadzenie ataku nawet przez kilka tygodni. Nie chcę przedstawiać tu gotowych scenariuszy pozwalających na przeprowadzenie skutecznego, anonimowego ataku, ale w dobie kryptowalut, darknetu oraz możliwości wynajęcia profesjonalistów, którzy skutecznie ukryją właściwych mocodawców, by przygotować skuteczny i bezpieczny dla agresora np. atak DDoS, nie stanowi to dzisiaj większego problemu - relacjonuje Michał Czuma.

WAŻNE

Warto okresowo tworzyć kopie bezpieczeństwa najistotniejszych danych w firmie. Powinny być one składowane na niezależnym systemie odłączonym od internetu bądź na zewnętrznych dyskach twardych.

Wszystko da się kupić!

Powyższe doniesienia postanowiliśmy sprawdzić w deep webie - części internetu niedostępnej przy użyciu zwykłej przeglądarki internetowej. Aby uzyskać dostęp, użyliśmy przeglądarki o nazwie TOR. Bez problemu dotarliśmy do ofert. Okazuje się, że najtańszy atak DDoS, który uniemożliwi funkcjonowanie przeciętnej małej firmie, kosztuje... zaledwie 5 dol. Przyblokowanie działania firmy posiadającej zabezpieczenia to koszt od 50 do 400 dol. Ale hakerzy oferują dużo więcej. Przykładowo pozyskanie danych medycznych (koszt od 3645 zł za dane jednej osoby), kradzież skanu prawa jazdy (od 73 zł za sztukę) czy kradzież danych karty kredytowej (od 80 zł za sztukę). Albo zablokowanie infolinii firmy bądź numeru telefonu konkretnej osoby (do 260 zł).

- Dziś walka o rynek przybiera czasami bardzo agresywne formy. W walce konkurencyjnej sięga się więc po rozwiązania z zakresu cyberprzestępczości, nie tylko po to, by blokować serwisy i pocztę danej firmy, lecz także, by wykradać dane, przejmować rynek, klientów, opracowywane przez firmy strategie, kopiować projekty czy zwykle szkodzić i opóźniać rozwój firm - opisuje Michał Czuma.

Wybrane rodzaje ataków

(zbitka ang. słów ransom - okup, (soft)ware - oprogramowanie) - rodzaj programu pobieranego przez użytkownika (najczęściej w formie zakamuflowanego pliku), który blokuje system komputerowy bądź szyfruje zapisane w nim dane. W zamian za odblokowanie cyberprzestępca żąda zapłaty okupu. Obecnie płatności najczęściej dokonuje się w kryptowalutach, takich jak np. bitcoin.

(ang. denial of service - blokada usług) - atak na system komputerowy bądź usługę sieciową w celu utrudnienia lub uniemożliwienia jej działania. Najczęściej polega na przeciążeniu aplikacji, która kierowana jest do konsumentów. Odbywa się to często przez flooding (ang. zalewanie), czyli wysyłanie w kierunku witryny przedsiębiorcy tak dużej liczby danych, że nie jest ona w stanie prawidłowo działać.

(ang. distributed denial of service - rozproszona odmowa usługi) - atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania przez zajęcie wszystkich wolnych zasobów. Przeprowadza się go równocześnie z wielu komputerów lub przy pomocy narzędzia imitującego bardzo dużą liczbę komputerów (tzw. zombie). Jeśli przepustowość danych serwera przedsiębiorcy jest niewystarczająca, to jego usługa lub witryna będzie niedostępna dla normalnych użytkowników. Ataki tego typu polegają najczęściej na sztucznym generowaniu i przesyłaniu do komputera ofiary wielkiej liczby informacji lub zapytań. Komputer ofiary nie jest w stanie przeanalizować i odpowiedzieć na wszystkie napływające informacje, co prowadzi do spowolnienia lub zablokowania jego działania (zawieszenia komputera). Ochrona przed atakiem jest bardzo trudna i sprowadza się głównie do tego, która strona posiada potężniejszy sprzęt komputerowy. Ewentualnie informatycy w firmach mogą wdrażać narzędzia mające na celu wychwytywanie anonimowych połączeń i usuwanie ich z witryny bądź aplikacji przedsiębiorcy.

(zbitka ang. słów: malicious - złośliwy i (soft)ware - oprogramowanie) - aplikacje i skrypty mające przestępcze bądź destrukcyjne działanie na system komputerowy. Pobierane przypadkiem przez użytkownika bądź samodzielnie wkradające się do komputera przez luki w systemie operacyjnym lub przeglądarce internetowej.

(z ang. password harvesting fishing - łowienie haseł) - metoda oszustwa polegająca na tworzeniu oszukańczych wiadomości e-mail i witryn internetowych, wyglądających jak serwisy firm o znanej marce, np. banków. Mają one skłonić użytkowników do podania przykładowo numerów kart kredytowych, informacji o koncie bankowym bądź danych dostępu do określonych systemów.

ⒸⓅ

Sankcje karne

Jak jednak łatwo się domyślić, wynajem cyberprzestępców do utrudnienia działalności konkurencji jest zagrożony wieloma sankcjami.

Artykuł 268 par. 1 kodeksu karnego stanowi: "Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2". Jeśli ten czyn dotyczy zapisu na komputerowym nośniku informacji (np. dysku twardym czy płycie CD/DVD), sprawca podlega karze pozbawienia wolności do lat 3. Z kolei zaś jeśli powyższe czyny wyrządzają znaczną szkodę majątkową, sprawca podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Zgodnie z art. 115 par. 7 kodeksu karnego w związku z par. 5 znaczną szkodę majątkową stanowi szkoda przekraczająca dwustukrotną wartość najniższego miesięcznego wynagrodzenia.

Ściganie wymienionych przestępstw następuje jednak jedynie na wniosek pokrzywdzonego. Michał Czuma zwraca przy tym uwagę, że zgodnie z brzmieniem powyższego przepisu ochronie podlega jedynie "istotna" informacja. - Jeśli zatem sąd uzna, że dana informacja była nieistotna, daje to podstawę nawet do odrzucenia zawiadomienia - zaznacza Czuma.

Łatwiejszą drogą byłoby zatem skorzystanie z art. 268a kodeksu karnego. Zgodnie z nim osoba nieuprawniona, która niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych, w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. Jeśli sprawca wyrządza znaczącą szkodę, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Ściganie tego przestępstwa również następuje na wniosek pokrzywdzonego. Powyższy przepis nie używa pojęcia "istotnych" informacji.

Odpowiedzialność cywilna

Ponadto, zdaniem dra Pawła Litwińskiego, adwokata z Instytutu Allerhanda oraz partnera w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, wynajęcie hakerów w celu kradzieży danych bądź uniemożliwienia prowadzenia biznesu innemu podmiotowi może być uznane za czyn nieuczciwej konkurencji w rozumieniu ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz.U. z 2003 r. poz. 153 ze zm.; dalej: u.z.n.k.).

Zgodnie z art. 3 u.z.n.k. czynem nieuczciwej konkurencji jest działanie sprzeczne z prawem lub dobrymi obyczajami, jeżeli zagraża lub narusza interes innego przedsiębiorcy lub klienta. Roszczenia przysługujące pokrzywdzonemu przedsiębiorcy w przypadku stwierdzenia czynu nieuczciwej konkurencji ze strony konkurenta wskazuje art. 18 u.z.n.k. I tak można żądać: zaniechania niedozwolonych działań, usunięcia ich skutków, złożenia jednokrotnego lub wielokrotnego oświadczenia odpowiedniej treści i w odpowiedniej formie, naprawienia wyrządzonej szkody (na zasadach ogólnych z kodeksu cywilnego), wydania bezpodstawnie uzyskanych korzyści, ewentualnie zasądzenia odpowiedniej sumy pieniężnej na określony cel społeczny związany ze wspieraniem kultury polskiej lub ochroną dziedzictwa narodowego - jeżeli czyn nieuczciwej konkurencji był zawiniony.

Jeżeli konkurent wynajmie zaś cyberprzestępcę do kradzieży danych, to zgodnie z art. 23 u.z.n.k. może zostać oskarżony o bezprawne korzystanie, ujawnianie osobie trzeciej bądź wykorzystywanie we własnej działalności gospodarczej informacji stanowiącej tajemnicę przedsiębiorstwa. Takie działanie zagrożone jest grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 2.

Inwazja hakerów jako wymówka

Ransomware lub innego rodzaju ataki hakerskie mogą uniemożliwić przedsiębiorcy wykonanie zobowiązań wobec kontrahentów, np. gdy zablokowane zostaną komputery, na których znajdują się dane niezbędne do ich wykonania. Czy zatem w takiej sytuacji przedsiębiorca jest zwolniony z odpowiedzialności za niewykonanie umów?

Zgodnie z art. 471 kodeksu cywilnego strona umowy ponosi co do zasady odpowiedzialność za szkodę wynikłą z niewykonania lub nienależytego wykonania zobowiązania, chyba że wykaże, iż jest to następstwem okoliczności, za które nie odpowiada. Wymagana przy tym należyta staranność oznacza zachowanie się zgodne z wzorcem właściwego zachowania profesjonalisty, a przy jego ustalaniu należy wziąć pod uwagę czynniki, które profesjonalista powinien uwzględniać w ramach prowadzonej działalności.

Zwolnienie z odpowiedzialności

Powstaje pytanie: czy przedsiębiorca, który dochował należytej staranności, może użyć ataku hakerskiego na jego firmę jako wymówki, z powodu której nie wykonał podpisanej umowy. Co oznaczać będzie należytą staranność?

- Biorąc pod uwagę masową skalę ataków hakerskich, a także liczbę powszechnie dostępnych informacji na ten temat, można uznać, że każda firma prowadząca działalność narażoną na takie ataki (a jest to potencjalnie każda firma używająca komunikacji elektronicznej) powinna wkalkulować prawdopodobieństwo wystąpienia takiego ataku w ryzyko prowadzenia biznesu - uważa Tomasz Zalewski, partner zarządzający w kancelarii Wierzbowski Eversheds Sutherland. Tłumaczy, że strona umowy odpowiedzialna za jej wykonanie powinna wziąć pod uwagę aktualny stan wiedzy o zagrożeniach cyberbezpieczeństwa i ryzyku, jakie może wyniknąć dla wykonania umowy, i na podstawie takiej analizy zastosować odpowiednie zabezpieczenia (np. zapewniając sobie zapasową kopię kluczowych danych). Tylko w takim przypadku można mówić o dołożeniu należytej staranności w wykonaniu umowy i zwiększyć szansę na uwolnienie się od odpowiedzialności kontraktowej.

- Inne będą jednak granice należytej staranności, np. w przypadku sklepu internetowego, a inne w przypadku podmiotu, który hostuje stronę tego sklepu - przypomina dr Paweł Litwiński.

Siła wyższa? To może być trudne

W umowach między przedsiębiorcami często pojawia się także odniesienie do art. 357¹ kodeksu cywilnego. Stanowi on, że umowa może zostać zerwana bądź zmieniona, jeżeli z powodu nadzwyczajnej zmiany stosunków bądź siły wyższej spełnienie świadczenia oznaczałoby nadmierne trudności bądź groziłoby jednej ze stron rażącą stratą. Zmiana lub rozwiązanie kontraktu musi być jednak dokonane przez sąd. I tu powstaje pytanie, czy niespodziewany atak hakerski można uznać za nadzwyczajne okoliczności utrudniające wywiązanie się z umowy.

!Każda firma używająca komunikacji elektronicznej powinna wkalkulować prawdopodobieństwo wystąpienia cyberataku w ryzyko prowadzenia biznesu.

- To pojęcie nie zostało zdefiniowane przez ustawodawcę, więc jego ocena zawsze będzie należała do sądu - mówi radca prawny Miłosława Strzelec-Gwóźdź, partner w GP Kancelaria Radców Prawnych. Zdaniem ekspertki ataku hakerskiego nie powinno się uznawać za nadzwyczajną okoliczność, zwłaszcza jeśli firma nie podjęła odpowiednich środków zabezpieczających. - Atak hakerski, w szczególności gdy będzie objęty nim jeden podmiot, nie będzie również określany mianem siły wyższej. Ta jest zdarzenie o charakterze przypadkowym, nie do przewidzenia i uniknięcia, takie, nad którym człowiek nie panuje - uważa mec. Strzelec-Gwóźdź.

Nieco innego zdania jest dr Paweł Litwiński. Przypomina on, że mianem siły wyższej określa się np. atak terrorystyczny. W bardzo wyjątkowych przypadkach można byłoby więc uznać, że atak cyberprzestępców jest tego rodzaju siłą wyższą. Doktor Litwiński przypomina jednak, że ta sprawa może być zupełnie inaczej odbierana już za pół roku, kiedy to zacznie obowiązywać unijne rozporządzenie RODO (o którym dalej).

Ważne: zapisy w umowach

Eksperci przypominają, że przed odpowiedzialnością kontraktową wywołaną przez atak cyberprzestępców na firmę można się zabezpieczyć, dodając określone zapisy do umowy z kontrahentem. - Zgodnie z zasadą swobody zawierania umów strony mogą wprowadzić definicję siły wyższej lub nadzwyczajnej zmiany stosunków prawnych, m.in. wskazując, że będzie się za nią uznawało wystąpienie ataku hakerskiego, wirusów komputerowych - radzi mec. Miłosława Strzelec-Gwóźdź. - Z tego typu zapisami możemy się spotkać w szczególności w umowach IT - dodaje.

Co jednak jeśli przedsiębiorca nie zadbał zawczasu o odpowiednie klauzule umowne, sąd uznał, że cyberatak nie stanowił siły wyższej, zaś kontrakt przewiduje dotkliwe kary umowne za niewywiązanie się z postanowień kontraktu? Jeżeli taka firma skorzystała wcześniej z usług eksperta ds. bezpieczeństwa informatycznego, to może próbować dochodzić od niego odszkodowania z tytułu niedostatecznego zabezpieczenia przez niego systemów przedsiębiorcy. Zdaniem dra Pawła Litwińskiego, to nie będzie jednak łatwe.

- Można dochodzić odszkodowania tylko pod warunkiem, że ten specjalista naruszył warunki umowy albo przepisy prawa. To wymagałoby wykazania, że określone zagrożenie cybernetyczne powinno było zostać uwzględnione przez tego specjalistę, a nie zostało. A zatem należy rozstrzygnąć, czy specjalista dołożył należytej staranności. Ocena byłaby trudna i kosztowna, bo na pewno wymagałaby powołania biegłych - uważa dr Paweł Litwiński.

RODO może wiele zmienić

Przedsiębiorca ponosi odpowiedzialność za ewentualne wycieki danych osobowych, którymi zarządza. Po wejściu nowego unijnego rozporządzenia ta odpowiedzialność znacząco wzrośnie

Obecnie przedsiębiorca, który dopuścił do wycieku danych osobowych znajdujących się pod jego pieczą, może ponieść sankcję w postaci grzywny nałożonej przez sąd. Istnieje też możliwość nałożenia kary administracyjnej.

Grzywna

Zgodnie z art. 52 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922; dalej: u.o.d.o.) nawet za nieumyślne niezabezpieczenie danych przed zabraniem ich przez osobę nieuprawnioną, uszkodzeniem bądź zniszczeniem odpowiada ich administrator - podlegając grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Zgodnie z art. 33 kodeksu karnego grzywnę wymierza się w stawkach dziennych, określając liczbę stawek oraz wysokość jednej stawki; jeżeli ustawa nie stanowi inaczej, najniższa liczba stawek wynosi 10, najwyższa zaś 540. Ustalając stawkę dzienną, sąd bierze pod uwagę dochody sprawcy, jego warunki osobiste, rodzinne, stosunki majątkowe i możliwości zarobkowe. Stawka dzienna nie może być niższa od 10 zł ani też przekraczać 2000 zł.

Kara administracyjna

W przypadku stwierdzenia naruszenia generalny inspektor ochrony danych osobowych (GIODO) może również nakazać usunięcie uchybień (art. 18 u.o.d.o.). Jeżeli przedsiębiorca tego nie zrobi, GIODO może nałożyć grzywnę administracyjną - każdorazowo nie może ona przekraczać 10 000 zł w stosunku do osób fizycznych, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej - 50 000 zł (zgodnie z art. 121 par. 2 ustawy z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji; t.j. Dz.U. z 2017 r. poz. 1201 ze zm.).

Nadchodzi rewolucja

Wszystko zmieni się jednak 25 maja 2018 r., kiedy zacznie obowiązywać rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 199, s. 1; dalej: ogólne rozporządzenie o ochronie danych osobowych albo RODO). Przepisy rozporządzenia będą niczym pętla na szyi przedsiębiorców gromadzących duże zbiory danych osobowych. Są bowiem bardzo restrykcyjne i przewidują wysokie kary, co przy łatwości dokonywania ataków hakerskich ze strony nieuczciwych konkurentów oraz przestępców szukających łatwego zarobku będą mieszanką iście wybuchową. Przede wszystkim przedsiębiorcy będą mieli liczne nowe obowiązki, m.in.:

● Zgłoszenie wycieku. Zgodnie z RODO każdy wyciek danych osobowych będzie trzeba zgłosić do GIODO (albo później mającego go zastąpić prezesa Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od stwierdzenia naruszenia (art. 85 RODO). Jeżeli nie można będzie dokonać zgłoszenia w tym terminie, to zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje muszą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

● Analiza sytuacji. W trakcie wspominanych 72 godzin trzeba będzie przeprowadzić analizę wycieku danych oraz zidentyfikować możliwe skutki.

● Zawiadomienie pokrzywdzonych. Jeżeli naruszenie ochrony danych mogłoby powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to administrator danych niezwłocznie musi o naruszeniu poinformować osoby, których dane wyciekły. Takie zawiadomienie musi zawierać co najmniej: dane kontaktowe inspektora ochrony danych bądź inne osoby kontaktowej, opis możliwych skutków naruszenia ochrony danych, opis środków zaradczych podjętych przez administratora danych oraz - ewentualnie - opis środków mających na celu minimalizowanie ewentualnych negatywnych skutków naruszenia.

Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać m.in. z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną (art. 75 RODO).

WAŻNE

Przed odpowiedzialnością kontraktową wywołaną przez atak cyberprzestępców na firmę można się zabezpieczyć, dodając określone zapisy do umowy z kontrahentem.

Właścicieli danych nie trzeba informować o wycieku danych, gdy administrator wdrożył odpowiednie techniczne i organizacyjne środki, które uniemożliwią osobom nieuprawnionym dostęp do danych (przykładowo zostały one zaszyfrowane) albo gdy administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Obowiązku takiego nie ma także wtedy, gdy informowanie każdego podmiotu wymagałoby niewspółmiernie dużego wysiłku - w takiej sytuacji należy jednak opublikować ogłoszenie, które trafi do właścicieli danych, np. informację w używanej przez nich aplikacji.

Odpowiednie projektowanie

Artykuł 78 RODO wprowadza konieczność projektowania systemów informatycznych w taki sposób, by dane osobowe były w nim bezpieczne (zasada privacy by design). Co to oznacza?

- Otóż samemu będzie trzeba ustalić, jakie jest w konkretnej sytuacji ryzyko dla bezpieczeństwa danych i zastosować odpowiednie środki zabezpieczenia. Nie będzie już żadnego rozporządzenia i żadnego katalogu środków obowiązkowych - wyjaśnia dr Paweł Litwiński, adwokat z Instytutu Allerhanda oraz partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów. Zgodnie z RODO takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

OPINIE EKSPERTÓW

Przedsiębiorcy muszą uwzględnić ryzyko

@RY1@i02/2017/233/i02.2017.233.18300110a.101(c).jpg@RY2@

Tomasz Zalewski radca prawny, partner zarządzający w kancelarii Wierzbowski Eversheds Sutherland

Podobnie jak firma budowlana musi wkalkulować w ryzyko gospodarcze możliwość wystąpienia niskich temperatur w zimie, które mogą uniemożliwić prowadzenie prac, tak przedsiębiorca wykonujący swoją działalność przy pomocy technologii informatycznych powinien uwzględnić ryzyko ataku hakerskiego mogącego uniemożliwić mu np. świadczenie usług. Oznacza to, że przedsiębiorcy może być trudno uwolnić się od odpowiedzialności za spowodowane cyberatakiem niewykonanie umowy. Chyba, że odpowiedzialność za takie wydarzenie zostanie umownie ograniczona, co jest dopuszczalne wyłącznie w obrocie B2B. Ograniczenie umowne może zostać wprowadzone albo poprzez uznanie ataku hakerskiego jako jednej z okoliczności siły wyższej, albo poprzez wyłączenie (lub ograniczenie, np. kwotowe) wprost odpowiedzialności kontraktowej z tytułu szkody spowodowanej takim atakiem. Wprowadzenie takiej klauzuli wymaga oczywiście zgody obu stron kontraktu.

Warto pamiętać, że rozporządzenie RODO, które wkrótce zacznie obowiązywać, przewiduje, iż zarówno administrator, jak i podmiot przetwarzający dane powinni wdrożyć odpowiednie środki techniczne i organizacyjne w celu skutecznej ochrony danych osobowych. Powinni uwzględnić przy tym m.in. stan wiedzy technicznej, koszt wdrażania oraz prawdopodobieństwo wystąpienia ryzyka naruszenia i wagę zagrożenia - tak, aby zapewnić stopień bezpieczeństwa odpowiadający ustalonemu ryzyku. Oznacza to, że wymagane zabezpieczenia mogą się różnić w zależności od dokonanej oceny ryzyka. Analogiczne podejście przewidziane jest w dyrektywie NIS, dotyczącej bezpieczeństwa sieci i informacji, oraz planowanej ustawie o krajowym systemie cyberbezpieczeństwa. Można zatem uznać, że strona umowy odpowiedzialna za jej wykonanie powinna wziąć pod uwagę aktualny stan wiedzy o zagrożeniach cyberbezpieczeństwa i ryzyka, jakie z tego mogą wyniknąć dla wykonania kontraktu. Następnie na podstawie takiej analizy musi zastosować odpowiednie zabezpieczenia, np. zapewniając sobie zapasową kopię kluczowych danych. W takim przypadku można by mówić o dołożeniu należytej staranności w wykonaniu umowy, skoro wzięto pod uwagę ryzyko ataku hakerskiego. Dopiero na tej podstawie można byłoby zwolnić się od odpowiedzialności kontraktowej.

Kluczowe branże będą lepiej się chronić

@RY1@i02/2017/233/i02.2017.233.18300110a.102(c).jpg@RY2@

Jacek Wiśniewski radca prawny w kancelarii Squire Patton Boggs

Strategiczne znaczenie dla bezpieczeństwa informatycznego Polski będzie miała ustawa o krajowym systemie cyberbezpieczeństwa, której projekt został zaprezentowany 31 października 2017 r. Ustawa ta ma wdrożyć do krajowego porządku prawnego postanowienia dyrektywy UE z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium UE, zwaną skrótowo z angielska dyrektywą NIS (Dz. Urz UE z 2016 r. L194 s. 1). Dyrektywa NIS i ustawa implementująca - będące odpowiedzią na rosnące zagrożenia - mają zagwarantować tzw. minimalny poziom zdolności krajowych w dziedzinie cyberbezpieczeństwa, m.in. pozwolą powołać zespoły reagowania na incydenty komputerowe. Przy czym na podstawie nowej ustawy Rada Ministrów powinna przyjąć również pięcioletnią Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej.

Duże znaczenie dla bezpieczeństwa informatycznego będzie miał wynikający z dyrektywy NIS i projektu polskiej ustawy obowiązek stworzenia listy operatorów usług kluczowych. W praktyce nowe przepisy będą dotyczyć podmiotów z sektora energetyki, transportu, bankowości, infrastruktury rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną, infrastruktury cyfrowej i dostawców cyfrowych, a także podmiotów publicznych. Operatorzy będą ustawowo zobowiązani do zapewnienia bezpieczeństwa świadczonych usług i ciągłości ich świadczenia w zakresie stosowania zabezpieczeń systemów informacyjnych, zarządzania ryzykiem i procedur dotyczących zarządzania incydentami.

Co warto podkreślić, projektowana ustawa będzie pierwszą kompleksową regulacją dotyczącą bezpieczeństwa systemów informatycznych podmiotów publicznych i dostawców kluczowych usług, która niejako wymusi na nich poważne traktowanie kwestii związanych z bezpieczeństwem cyfrowym.

Astronomiczne sumy

RODO to nie tylko obowiązki informacyjne i konieczność wdrożenia rozwiązań systemowych, lecz także widmo wysokich kar. Jeśli przedsiębiorca nie zgłosi wycieku danych bądź jego zabezpieczenia danych były nieadekwatne do wagi tych danych lub niewystarczające, to grozi mu kara w wysokości od 10 mln do 20 mln euro lub od 2 do 4 proc. rocznego obrotu - w zależności, która z sankcji będzie bardziej dotkliwa.

Decydując o karze, organ będzie zwracał uwagę m.in. na: charakter, wagę i czas naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody. Ponadto będzie oceniał działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą. Weźmie też pod uwagę kategorie danych osobowych, które wyciekły, oraz współpracę przedsiębiorcy z organem w celu usunięcia skutków wycieku danych.

Roszczenia od poszkodowanych

RODO da również możliwość dochodzenia odszkodowania przez właścicieli danych osobowych. Zgodnie z zaproponowanym przez Ministerstwo Cyfryzacji projektem ustawy o ochronie danych osobowych (wdrażającym RODO do polskiego prawa) każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostanie naruszone, będzie mogła żądać zaniechania tego działania lub usunięcia jego skutków. Do postępowań w sprawach tych roszczeń proponuje się stosowanie przepisów kodeksu postępowania cywilnego.

@RY1@i02/2017/233/i02.2017.233.18300110a.103(c).jpg@RY2@

Jakub Styczyński

jakub.styczynski@infor.pl

@JakubStyczynski