Konsekwencje ataku
Realna ocena zagrożenia jest konieczna. Nie można jej dokonać bez analizy konsekwencji prawnych naruszenia zasad bezpieczeństwa informatycznego. Wyciek danych osobowych od strony prawnej to nieuprawnione ujawnienie lub nieuprawniony dostęp do danych. Do wycieku danych osobowych dochodzi zatem nie tylko, gdy dane z przyczyn leżących po stronie administratora stają się dostępne dla osób niepowołanych (np. w wyniku działania jego pracowników), ale również, gdy ktoś z zewnątrz zdobędzie dostęp do danych lub je zniszczy. Oznacza to, że za ataki wynikające z działań osób trzecich odpowiada co do zasady administrator danych. Podobnie w odniesieniu do innych danych aniżeli dane osobowe – działania osób trzecich mogą narazić przedsiębiorcę na daleko idące konsekwencje ekonomiczne i wizerunkowe. Wracając do danych osobowych: istotną konsekwencją naruszenia ochrony danych może być konieczność poinformowania o nim nie tylko organu nadzorczego, PUODO, ale i podmiotów danych dotkniętych wyciekiem.
Tajemnica przedsiębiorstwa i kontrakty
Prasa donosiła niedawno o mających ogromne znaczenie działaniach prof. Marcina Drąga i jego współpracowników z Politechniki Wrocławskiej, którzy wyniki swoich badań dotyczących proteazy koronawirusa wywołującego pandemię, której obecnie doświadczamy, opublikował za darmo, aby stały się dostępne dla całego świata nauki. Nie każde laboratorium jednak wyniki swoich badań chce udostępniać bez komercjalizacji Powinna to być niezależna decyzja każdego uprawnionego podmiotu. Wykradzenie danych lub ich utrata może zniweczyć zakładany cel ekonomiczny. Stanie się ofiarą oprogramowania typu ransomware (oprogramowanie, które czyni zakładnika z zasobów informatycznych, żądając okupu), może narazić przedsiębiorcę na utratę tajemnic handlowych, ale też po prostu dotychczasowego dorobku, np. w odniesieniu do przedsiębiorstw zajmujących się rozwojem oprogramowania.
Na te konsekwencje należy patrzeć nie tylko z perspektywy bezpośrednich interesów danego przedsiębiorcy. W praktyce działalności gospodarczej przedsiębiorcy przechowują przecież nie tylko dane swoje, ale i informacje dotyczące swoich kontrahentów. Na tę okoliczność warto szczególnie zwrócić uwagę z perspektywy prawnej. Zobowiązania kontraktowe dotyczące poufności i bezpieczeństwa informacji mogą stać się źródłem odpowiedzialności. Dlatego też musimy mówić o pośrednim źródle zagrożenia ekonomicznego dla przedsiębiorstw, jakim może być odpowiedzialność odszkodowawcza, w tym również ta realizowana w formie zobowiązania do zapłaty kar umownych.
Co na to RODO?
Tekst RODO realizuje postulat neutralności technologicznej. RODO przerzuca na administratorów danych obowiązek ciągłego nadążania za rozwojem środków zaradczych, które stają się dostępne dzięki marszowi technologii naprzód. Oczywiście dzięki rozwojowi technologii mamy też do czynienia z nowymi zagrożeniami, którym z kolei trzeba zaradzić. W tym błędnym kole toczy się nieustanny wyścig.
Ogólna zasada wyrażona w RODO, a określana jako zasada integralności i poufności, nakazuje wprost, aby dane były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych (art. 5, ust. 1 pkt f). Zasada ta znajduje rozwinięcie w art. 24 ust. 1: „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z [RODO] i aby móc to wykazać.” Konkluzja, którą trzeba wyciągnąć jest to, że w przypadku rozwoju zagrożeń mogą zmienić się parametry przetwarzania danych w zakresie ryzyka i prawdopodobieństwa jego materializacji. To z kolei pociąga za sobą konieczność wykazania, że stosowane środki są nadal odpowiednie.
Zwiększenie świadomości
Jako środek praktycznego zaradzenia ryzyku można przywołać w pierwszym rzędzie położenie jeszcze większego nacisku na świadomość pracowników i współpracowników co do obecnych zagrożeń i sposobów obrony przed nimi. Większość pracowników mających dostęp do firmowego komputera z Internetem może stanowić potencjalne wrota dla osób, mających złe intencje. Przykładem mogą być przypadki ataków phisingowych, których adresatami są generalnie poszczególne osoby w organizacji. Jeżeli pracownik ujawni na fałszywej stronie dane do logowania do systemu przedsiębiorcy, istnieje ryzyko, że niepowołana osoba zdobędzie dostęp do zasobów informatycznych tego pracodawcy. Ciekawym, a zarazem naturalnym, rozwiązaniem w dzisiejszych czasach są oczywiście szkolenia online. ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa) oferuje na przykład krótki materiał na temat podstawowych zasad bezpieczeństwa w cyberprzestrzeni (https://www.enisa.europa.eu/), który ilustruje najistotniejsze kwestie bezpieczeństwa w pracy zdalnej.
