Kto jest odpowiedzialny za cyberbezpieczeństwo w firmie.
W zależności od wielkości firmy ciężar odpowiedzialności za naruszenia cyberbezpieczeństwa może spoczywać na różnych osobach. Jeżeli mówimy o jednoosobowej działalności gospodarczej, w oczywisty sposób kierować swoją uwagę będziemy na osobę właściciela.
W strukturach większych firm, przede wszystkim tych, które prowadzą swoją działalność w formie spółki prawa handlowego, odpowiedź na to pytanie nie będzie taka prosta. W strukturach takich obserwujemy bowiem pewien stopień hierarchizacji. Wyszczególniamy obok zarządu, także kierowników poszczególnych działów lub zespołów.
Na najniższym poziomie organizacyjnym są też pozostali pracownicy firmy, którzy nie są w oczywisty sposób zwolnienia z obowiązku dbania o zapobieganie cyberzagrożeniom.
Ustawa o krajowym systemie cyberbezpieczeństwa.
Ustawa implementuje do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie środków wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148), zwana również Dyrektywą NIS.
Celem ustawy jest utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym oraz określenie sposobów zapobiegania zagrożeniom cybernetycznym.
Obok operatorów usług kluczowych, takich jak sektor energetyczny, transportowy, zdrowotny oraz bankowy, do systemu włączeni są również dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe.
Na dostawcach usług cyfrowych spoczywa obowiązek przeprowadzania czynności umożliwiających wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów, a także zgłaszania incydentów istotnych niezwłocznie, nie później niż w ciągu 24 godzin.
Firmy, które nie stosują się do przepisów w/w ustawy mogą liczyć się z negatywnymi konsekwencjami, w tym z wysokimi karami pieniężnymi, które mogą wynieść nawet kilkaset tysięcy złotych. Karę pieniężną nakłada organ właściwy do spraw cyberbezpieczeństwa.
Jakie mogą być naruszenia cyberbezpieczeństwa w firmach.
Firmy gromadzące dane narażone są na ataki zewnętrzne. Znacząco wzrosło jednak w ostatnim czasie także ryzyko ataków z wewnątrz (The Inside Attack). Ataki wewnętrzne są tym bardziej niebezpieczne, ponieważ pochodzą z wewnątrz danej organizacji. Pracownicy mogą liczyć na zaufanie swojego pracodawcy, co może prowadzić do lekceważenia pochodzącego od nich zagrożenia.
Ochrona danych, zabezpieczenie systemów, odpowiednia strategia lub plan kryzysowy, to tylko niektóre z elementów sprawnego reagowania na możliwe zagrożenia. Jak wynika z raportu „Barometr Cyberbezpieczeństwa” opublikowanego przez KPMG w roku 2023 liczba firm, które zarejestrowały przynajmniej jeden incydent związany z cyberbezpieczeństwem wyniosła 66%. Zauważono również tendencję wzrostową jeżeli chodzi o zagrożenie dotyczące przestępstw informatycznych.
Nadal największe zagrożenie płynie z ataków typu ransomware (szkodliwe oprogramowanie) oraz z ataków phishingowych. Na celowniku przestępców znajdują się poufne dane firm, dane do logowania, dane bankowe. Celem takich ataków również mogą być próby wyłudzeń lub ataki związane z żądaniem okupu.
Zabezpieczenie systemów przed cyberzagrożeniami.
Pomocnym rozwiązaniem w walce z cyberprzestępstwami może być wprowadzenie polityki cyberbezpieczeństwa, a więc zespołu procedur, które pomogą w zapobieganiu, reagowaniu oraz zwalczaniu takich ataków.
Obok sprawnego systemu zarządzania ryzykiem oraz wprowadzania rozwiązań technologicznych, mających na celu ochronę systemu danych, duże znaczenie nabiera szkolenie pracowników, od których taki atak może się zacząć.
Ważne jest to, aby pracownik firmy wiedział, jak rozpoznać próbę oszustwa lub ataku (np. przy atakach phishingowych). Istotne jest także, aby w przypadku zaistnienia incydentu naruszenia cyberbezpieczeństwa fakt taki został niezwłocznie zgłoszony przełożonemu, tak aby możliwa była jak najszybsza reakcja.
W przypadku dużych firm, gdzie zarządzanie ryzykiem takich ataków jest duże, wartościowe jest stworzenie osobnego pionu odpowiedzialnego za rozwiązywanie tego typu sytuacji. Firmy mogą skorzystać z własnych zasobów lub też usługi te zlecić innym profesjonalnym podmiotom.
Sprawne zarządzenie ryzykiem nie będzie jednak możliwe bez wdrożenia odpowiednich procedur reagowania.
Zasady ponoszenia odpowiedzialności.
W przypadku firm odpowiedzialność może być zróżnicowana. Odpowiedzialność karna może dotyczyć takich przestępstw jak: wyrządzenie szkody przez nadużycie uprawnień lub niedopełnienie ciążącego obowiązku; oszustwo komputerowe (cyberprzestępczość); ujawnienie informacji w związku z wykonywaną funkcją, pracą lub działalnością gospodarczą.
Przedmiotem ochrony w tym przypadku jest poufność informacji. Przetwarzanie danych odbywa się na każdym szczeblu funkcjonowania firmy, a więc przestępstwa te mogą zostać popełnione w zasadzie przez każdego pracownika, a nie tylko członków organów zarządzających firmą lub kierowników poszczególnych działów i zespołów.
Przestępstwa powyższe co do zasady mają charakter przestępstw umyślnych. Najogólniej chodzi o zamiar osoby, która chce popełnić dane przestępstwo lub przewiduje, że może ono nastąpić.
Odpowiedzialność karna może więc nie dotknąć pracownika, który przypadkowo kliknął w link lub odnośnik w przesłanej do niego wiadomości phishingowej. Nie oznacza to jednak, że pracownik taki nie będzie ponosił żadnej odpowiedzialności za dokonane naruszenie.
Należy pamiętać, że pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ze swej winy wyrządził pracodawcy szkodę, ponosi za nią odpowiedzialność. Wysokość odszkodowania jest jednak miarkowana i nie może przewyższać kwoty trzymiesięcznego wynagrodzenia przysługującego pracownikowi w dniu wyrządzenia szkody. Ograniczenie to nie będzie miało jednak zastosowania, gdy pracownik wyrządzi szkodę umyślnie, w takim bowiem przypadku obowiązany jest do jej naprawienia w pełnej wysokości.
Możliwe jest również zastosowanie wobec takiego pracownika sankcji dyscyplinarnych.