Reklama
Rozwiń

Marta Wysokińska: Utrata danych może zniweczyć zakładany cel ekonomiczny

Obecna sytuacja związana z koronawirusem zintensyfikowała działania przestępców, którzy za miejsce swojej działalności obrali sieć.

Publikacja: 20.04.2020 12:52

Cyberprzestępcy są dziś najgroźniejszą bronią reżimów, a cyberszpiedzy najbardziej efektywną grupą p

Cyberprzestępcy są dziś najgroźniejszą bronią reżimów, a cyberszpiedzy najbardziej efektywną grupą pozyskującą informacje

Foto: Adobe Stock

rp.pl

Jak donosi Rzeczpospolita na podstawie danych z SecDev Group („Grozi nam epidemia wirusów komputerowych”, M. Duszczyk, 14.04.2020 r.), w marcu natężenie cyberzagrożeń we Włoszech i USA wzrosło aż o 25–30 proc. Z danych wynika, że to kraje najbardziej dotknięte przez epidemię.

CZYTAJ TAKŻE: Grozi nam epidemia wirusów komputerowych

Z punktu widzenia zaatakowanego przedsiębiorstwa mniejsze znaczenie ma to, skąd pochodzi haker i czy jest to członek zorganizowanej grupy. Istotny jest natomiast sam fakt ataku i kwestia tego, czy w jego wyniku jakieś dane osobowe lub informacje stanowiące tajemnicę przedsiębiorstwa zostały wydobyte z zaatakowanych systemów lub utracone.

Zwiększone zagrożenie, większe obawy

Kolejną ciekawą informacją wspomnianą w wyżej przywołanym artykule jest, że 71 proc. specjalistów IT boi się utraty poufnych danych. Oczywiście trudno porównać to do stanu sprzed pandemii bez stosownych danych z wcześniejszych okresów, jednak sam fakt zwiększenia aktywności cyberprzestępców ustalony przez instytucje przywołane we wspomnianym na wstępie artykule, powoduje, że konieczne jest, aby spojrzeć na zagrożenia od nowa.

""

mat. pras.

Foto: cyfrowa.rp.pl

Konsekwencje ataku

Realna ocena zagrożenia jest konieczna. Nie można jej dokonać bez analizy konsekwencji prawnych naruszenia zasad bezpieczeństwa informatycznego. Wyciek danych osobowych od strony prawnej to nieuprawnione ujawnienie lub nieuprawniony dostęp do danych. Do wycieku danych osobowych dochodzi zatem nie tylko, gdy dane z przyczyn leżących po stronie administratora stają się dostępne dla osób niepowołanych (np. w wyniku działania jego pracowników), ale również, gdy ktoś z zewnątrz zdobędzie dostęp do danych lub je zniszczy. Oznacza to, że za ataki wynikające z działań osób trzecich odpowiada co do zasady administrator danych. Podobnie w odniesieniu do innych danych aniżeli dane osobowe – działania osób trzecich mogą narazić przedsiębiorcę na daleko idące konsekwencje ekonomiczne i wizerunkowe. Wracając do danych osobowych: istotną konsekwencją naruszenia ochrony danych może być konieczność poinformowania o nim nie tylko organu nadzorczego, PUODO, ale i podmiotów danych dotkniętych wyciekiem.

Tajemnica przedsiębiorstwa i kontrakty

Prasa donosiła niedawno o mających ogromne znaczenie działaniach prof. Marcina Drąga i jego współpracowników z Politechniki Wrocławskiej, którzy wyniki swoich badań dotyczących proteazy koronawirusa wywołującego pandemię, której obecnie doświadczamy, opublikował za darmo, aby stały się dostępne dla całego świata nauki. Nie każde laboratorium jednak wyniki swoich badań chce udostępniać bez komercjalizacji Powinna to być niezależna decyzja każdego uprawnionego podmiotu. Wykradzenie danych lub ich utrata może zniweczyć zakładany cel ekonomiczny. Stanie się ofiarą oprogramowania typu ransomware (oprogramowanie, które czyni zakładnika z zasobów informatycznych, żądając okupu), może narazić przedsiębiorcę na utratę tajemnic handlowych, ale też po prostu dotychczasowego dorobku, np. w odniesieniu do przedsiębiorstw zajmujących się rozwojem oprogramowania.

Na te konsekwencje należy patrzeć nie tylko z perspektywy bezpośrednich interesów danego przedsiębiorcy. W praktyce działalności gospodarczej przedsiębiorcy przechowują przecież nie tylko dane swoje, ale i informacje dotyczące swoich kontrahentów. Na tę okoliczność warto szczególnie zwrócić uwagę z perspektywy prawnej. Zobowiązania kontraktowe dotyczące poufności i bezpieczeństwa informacji mogą stać się źródłem odpowiedzialności. Dlatego też musimy mówić o pośrednim źródle zagrożenia ekonomicznego dla przedsiębiorstw, jakim może być odpowiedzialność odszkodowawcza, w tym również ta realizowana w formie zobowiązania do zapłaty kar umownych.

Co na to RODO?

Tekst RODO realizuje postulat neutralności technologicznej. RODO przerzuca na administratorów danych obowiązek ciągłego nadążania za rozwojem środków zaradczych, które stają się dostępne dzięki marszowi technologii naprzód. Oczywiście dzięki rozwojowi technologii mamy też do czynienia z nowymi zagrożeniami, którym z kolei trzeba zaradzić. W tym błędnym kole toczy się nieustanny wyścig.

Ogólna zasada wyrażona w RODO, a określana jako zasada integralności i poufności, nakazuje wprost, aby dane były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych (art. 5, ust. 1 pkt f). Zasada ta znajduje rozwinięcie w art. 24 ust. 1: „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z [RODO] i aby móc to wykazać.” Konkluzja, którą trzeba wyciągnąć jest to, że w przypadku rozwoju zagrożeń mogą zmienić się parametry przetwarzania danych w zakresie ryzyka i prawdopodobieństwa jego materializacji. To z kolei pociąga za sobą konieczność wykazania, że stosowane środki są nadal odpowiednie.

Zwiększenie świadomości

Jako środek praktycznego zaradzenia ryzyku można przywołać w pierwszym rzędzie położenie jeszcze większego nacisku na świadomość pracowników i współpracowników co do obecnych zagrożeń i sposobów obrony przed nimi. Większość pracowników mających dostęp do firmowego komputera z Internetem może stanowić potencjalne wrota dla osób, mających złe intencje. Przykładem mogą być przypadki ataków phisingowych, których adresatami są generalnie poszczególne osoby w organizacji. Jeżeli pracownik ujawni na fałszywej stronie dane do logowania do systemu przedsiębiorcy, istnieje ryzyko, że niepowołana osoba zdobędzie dostęp do zasobów informatycznych tego pracodawcy. Ciekawym, a zarazem naturalnym, rozwiązaniem w dzisiejszych czasach są oczywiście szkolenia online. ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa) oferuje na przykład krótki materiał na temat podstawowych zasad bezpieczeństwa w cyberprzestrzeni (https://www.enisa.europa.eu/), który ilustruje najistotniejsze kwestie bezpieczeństwa w pracy zdalnej.

Status quo – kontrola i rewizja

Drugą praktyczną wskazówką jest oczywiście rewizja stosowanych środków. Przez te środki należy rozumieć zarówno instrumenty informatyczne stojące na straży cyberbezpieczeństwa, ale i obecnie obowiązujące procedury oraz sam sposób ich realizacji. Być może też warto rozważyć uzyskanie odpowiednich certyfikatów.

Szczególną uwagę powinny tej kwestii poświęcić podmioty, które przeprowadziły ocenę skutków dla ochrony danych, o której mowa w art. 35 RODO. Trzeba tu przywołać treść ust. 11 tego artykułu, który stanowi, że „w razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się z oceną skutków dla ochrony danych”. W związku bowiem z nowymi zagrożeniami, czy też zwiększeniem częstotliwości występowania zagrożeń wziętych pod uwagę wcześniej, konieczne będzie przeprowadzenie ponownej oceny stosowanych środków bezpieczeństwa dla przetwarzania danych osobowych. Rewizja stosowanych środków może być zresztą konieczna nawet w przypadkach, kiedy DPIA nie była dokonana.

Kontrakty a nowa rzeczywistość

Kolejnym krokiem do zmniejszenia ryzyka może być – w przypadkach, w których jest to komercyjnie możliwe – zrewidowanie postanowień umów zobowiązujących do zachowania poufności. Rozszerzenie przesłanek egzoneracyjnych może okazać się istotne w praktyce, choć w ważeniu ryzyk trzeba też wziąć pod uwagę nakłady konieczne do przeprowadzenia takiej renegocjacji umów, jak i posiadaną pozycję negocjacyjną. Niezależnie od powyższego warto z pewnością przyjrzeć się postanowieniom kontraktów, aby przygotować mapę ekspozycji na odpowiedzialność.

Umowy SLA z dostawcami usług IT to kolejny element, który powinien zostać przeanalizowany od strony możliwości dokonania stosownych zmian w zakresie parametrów krytycznych dla bezpieczeństwa.

Rozliczalność z RODO i rozliczalność kontraktowa

Gromadzenie stosownych dowodów na wywiązywanie się ze zobowiązań dotyczących poufności, jak i na podjęcie działań zmierzających do ochrony tajemnicy przedsiębiorstwa, np. w postaci rezultatów audytów zarówno IT, jak i tych dotyczących przestrzegania wewnętrznych procedur przez pracowników lub też dowodów na przeprowadzenie stosownych szkoleń, może nabrać jeszcze większego znaczenia dla zapewnienia przedsiębiorstwu ochrony prawnej. Wykazanie należytej staranności kwalifikowanej poprzez biznesowy charakter działalności, jest istotne z punktu widzenia prawa handlowego. Z drugiej zaś strony zasada rozliczalności przyjęta w RODO zobowiązuje administratorów do wykazywania, że przestrzegają przepisów, w tym stosują „odpowiednie” środki bezpieczeństwa. Oczywiście najlepiej, aby takie dowody nigdy się nie przydały, jednak zebranie ich stanowi relatywnie nisko kosztowe zabezpieczenie i powinno być elementem zarządzania ryzykiem w przedsiębiorstwie.

Marta Wysokińska, radca prawny, counsel w kancelarii DWF Poland, specjalizuje się w doradzaniu przedsiębiorstwom w odniesieniu do prawa własności intelektualnej, w tym w zakresie ochrony danych osobowych oraz IT.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: cyfrowa.rp.pl

Publicystyka
Odpowiedzialne innowacje. Jak mądra będzie „smart” wieś?
Opinie i komentarze
Odpowiedzialne innowacje. Jak mądra będzie „smart” wieś?
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
Materiał Promocyjny
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
Odpowiedzialne innowacje: Moralność maszyn, czyli liczne pytania natury etycznej
Opinie i komentarze
Odpowiedzialne innowacje: Moralność maszyn, czyli liczne pytania natury etycznej
Jan Widacki: Modernizacja stacji bazowej telefonii komórkowej nie musi być rozbudową
Opinie i komentarze
Jan Widacki: Modernizacja stacji bazowej telefonii komórkowej nie musi być rozbudową
Prof. Jan Widacki: Miliardy za częstotliwości kosztem inwestycji?
Opinie i komentarze
Prof. Jan Widacki: Miliardy za częstotliwości kosztem inwestycji?
Najlepszy program księgowy dla biura rachunkowego
Materiał Promocyjny
Najlepszy program księgowy dla biura rachunkowego
Michał Targiel, partner PwC Polska: Inwestycje w AI warunkiem przetrwania
Opinie i komentarze
Michał Targiel, partner PwC Polska: Inwestycje w AI warunkiem przetrwania
„Nowy finansowy ja” w nowym roku – aplikacja banku pomoże w wypracowaniu dobrych nawyków
Materiał Promocyjny
„Nowy finansowy ja” w nowym roku
e-Wydanie