Kto i na ile odpowiada za cyberbezpieczeństwo w firmie

Zapewnianie cyberbezpieczeństwa w organizacji dotyczy nie tylko firmowych danych czy ciągłości działania systemów ICT, ale także osobistej odpowiedzialności pracowników. Czy w przypadku incydentu pracownicy będą w stanie wykazać i udowodnić, że we właściwy sposób zaopiekowali się cyberbezpieczeństwem?

Panel dotyczący odpowiedzialności za cyberbezpieczeństwo prowadził podczas Microsoft Trusted Cloud Day mecenas Maciej Gawroński, radca prawny i partner w kancelarii Maruta Wachta. Prelegent rozpoczął od zdefiniowania cyberbezpieczeństwa: „to zapewnienie ciągłości działania systemów informatycznych oraz bezpieczeństwa funkcji i informacji w nich przetwarzanych”. Cechy cyberbezpieczeństwa to ciągłość działania, brak nieautoryzowanego dostępu do informacji zawartych w systemach ICT oraz ich zmiany czy wykorzystania. Zdarzeniem naruszającym cyberbezpieczeństwo nie musi być przy tym jedynie intencjonalna działalność przestępców. Zdaniem Macieja Gawrońskiego może to być również zdarzenie przypadkowe czy katastrofa.

Kto ocenia czy poziom bezpieczeństwa został zachowany i czy jest właściwy?

Odpowiedź może być zaskakująca – oceniają to prawnicy” – stwierdza mecenas Gawroński. „Ostatecznie będzie to sędzia, po drodze będzie to prokurator”. To do prawników udają się menedżerowie po wycieku danych czy innych zdarzeniach zagrażających reputacji i interesom przedsiębiorstwa. Podczas oceny poziomu bezpieczeństwa prawnicy z pewnością będą sięgać po opinię ekspertów, jednak to nie rozwiązuje problemu. Z jakiego powodu? „Ilu ekspertów – tyle opinii” – mówi Gawroński. „Poleganie na opinii eksperta w celu zabezpieczenia się przed odpowiedzialnością za zachowanie cyberbezpieczeństwa jest prawdopodobnie ryzykowne” – dodaje.

Zobacz również:

  • Dlaczego warto korzystać z VPN w 2024 roku?
  • Co trzecia firma w Polsce z cyberincydentem
O chmurze obliczeniowej i cyberbezpieczeństwie na konferencji Microsoft Trusted Cloud Day

Panel mecenasa Macieja Gawrońskiego dotyczący odpowiedzialności za zapewnianie cyberbezpieczeństwa odbył się 16 listopada br. podczas konferencji Microsoft Trusted Cloud Day 2016 w Warszawie.

W agendzie konferencji znalazły się też inne zagadnienia poświęcone szeroko pojętemu bezpieczeństwu ICT i rozwojowi chmury obliczeniowej, w tym dotyczące:

  • spodziewanych efektów wejścia w życie Ogólnego rozporządzenia o ochronie danych (GDPR),
  • zmian w polskich przepisach, dotyczących przechowywania danych w chmurze obliczeniowej,
  • ryzyk związanych z przetwarzaniem danych osobowych w organizacji,
  • zaufania do rozwiązań chmurowych,
  • oraz szeregu innych zagadnień, w szczególności skupiających się wokół prawnych aspektów cyberbezpieczeństwa i rozwiązań Cloud computing

Właściwym działaniem będzie wypracowanie procesowego podejścia do zagadnień bezpieczeństwa IT. Podejście takie powinno bazować przede wszystkim na analizie przepisów, zaleceń, standardów oraz porównywaniu firmowych zabezpieczeń do rozwiązań stosowanych przez inne podmioty na rynku.

Kluczowe są oczywiście przepisy: unijne i krajowe, ustawy i rozporządzenia, konwencje międzynarodowe itp. Zalecenia i standardy uzupełniają i wyjaśniają przepisy, ułatwiają ich dynamiczne dostosowanie do kontekstu przedsiębiorstwa. Następnie należy porównać praktyki stosowane we własnej firmie do tych realizowanych przez otoczenie rynkowe – dotyczy to nie tylko rozwiązań technologicznych, ale i praktyki stosowania przepisów, zaleceń i standardów. Porównanie pozwoli także ustalić kryterium staranności, które jest kluczowe w procesie ustalania osób odpowiedzialnych za naruszenia bezpieczeństwa.

Sprawy nie ułatwia fakt, że przepisy dotyczące cyberbezpieczeństwa są rozrzucone po szeregu różnych aktów prawnych . Samych ustaw i rozporządzeń w różnym stopniu odnoszących się do bezpieczeństwa systemów ICT oraz przetwarzanych w nich danych jest kilkanaście. Część norm wynika z przepisów ogólnych, część z branżowych, natomiast żaden z aktów prawnych nie podchodzi do sprawy całościowo. Nie ma w Polsce jednej ustawy o cyberbezpieczeństwie ani jednolitego podejścia co do interpretacji i stosowania zapisów w różnych aktach prawnych. To duże wyzwanie i istotne ryzyko „dla tych, którzy muszą zapewnić nie tylko owo cyberbezpieczeństwo, ale i sobie bezpieczeństwo w wykazaniu, że cyberbezpieczeństwem zaopiekowali się odpowiednio” – podkreśla Maciej Gawroński.

Zakres i rodzaje odpowiedzialności

Przedsiębiorca musi zdawać sobie sprawę, że nie realizując właściwego poziomu bezpieczeństwa uderza nie tylko we własny biznes. W ten sposób „godzimy w zbiorowe interesy konsumenta” – podkreśla mecenas Gawroński. „Co więcej, jest to też naruszenie zasad uczciwej konkurencji, dlatego że inne firmy, które w bezpieczeństwo inwestują, przegrywają z tymi, które cały budżet skoncentrowały wyłącznie na marketingu” – dodaje.

Odpowiedzialność w zakresie bezpieczeństwa IT może mieć dwojaki charakter: osobisty i instytucjonalny. W pierwszym przypadku najpoważniejszą sankcją jest postawienie zarzutów i kara o charakterze ogólnym, bądź kara za utrudnianie postępowań prowadzonych przez NIK, GIODO, KNF itp. instytucje.

Zarzuty dotyczące odpowiedzialności osobistej mogą zostać sformułowane na przykład na podstawie Ustawy o ochronie danych osobowych – w przypadku ujawnienia danych osobowych lub ich nienależytego zabezpieczenia, czy też na bazie przepisów dotyczących niedochowania tajemnicy (lekarskiej, bankowej, przedsiębiorstwa itd.). Zarzut precyzuje, czy wina była spowodowana umyślnie czy nieumyślnie. Często samo rozczytanie zarzutu jest wymagające i czasochłonne – brak jednej podstawy prawnej utrudnia orientację co do zarzucanego czynu i jego opisu w obowiązujących przepisach.

Drugi rodzaj odpowiedzialności ma charakter instytucjonalny: administracyjny, cywilny, reputacyjny czy karny w stosunku do podmiotów zbiorowych. Odpowiedzialność administracyjna może polegać np. na grzywnie nałożonej przez GIODO (UOKiK, URE, UKE, KNF itd.) na organizację w celu przymuszenia jej do określonego działania lub zaniechania. Grzywna taka może sięgnąć 200 tys. zł. Odpowiedzialność cywilna zależeć będzie z kolei od analizy, „do jakiej staranności powinniśmy być zobowiązani” – stwierdza Maciej Gawroński; czy będzie to staranność zwyczajna, czy też szczególna. Przy naruszeniach przepisów, które podkreślają konieczność zastosowania „szczególnej staranności”, dużo łatwiej będzie przypisać winę z tego tytułu. Dochowanie szczególnej staranności to kluczowy element w procesie ustalania osób odpowiedzialnych za naruszenia bezpieczeństwa.

Kto ponosi odpowiedzialność?

Domniemanie odpowiedzialności dotyczy kolejno: prezesa zarządu, CIO, CSO lub ABI (Administratora bezpieczeństwa informacji). W dalszej kolejności łańcuch odpowiedzialności sięga ku pracownikom pionu bezpieczeństwa bądź informatyki, w zależności czy struktury te zostały kompetencyjnie podzielone. Jeżeli winnego nie da się ustalić na tym poziomie, osoba odpowiedzialna poszukiwana będzie wśród pracowników szeregowych. Aby uniknąć tej sytuacji, należy czytelnie rozdzielić obowiązki na poziomie zarządu – odpowiedzialność w zakresie cyberbezpieczeństwa powinna zostać przypisana do CIO lub CSO/ABI.

Skazań oczywiście w tym momencie nie ma jeszcze dużo. Nie ma wielu tego typu postępowań. Spodziewam się skokowego wzrostu i trendu bardzo zwyżkowego” – ostrzega jednak mecenas Gawroński. Dlaczego? „Po pierwsze – zagrożenia cyberbezpieczeństwa wzrastają nie tyle proporcjonalnie, co skokowo – wykładniczo względem informatyzacji, z której nie ma wyjścia. Po drugie – organy ścigania zaczynają specjalizować się w tym obszarze”. W dniu 29 kwietnia 2016 roku Prokurator Krajowy wydał zarządzenie, wedle którego w Departamencie ds. Przestępczości Zorganizowanej i Korupcji Prokuratury Krajowej powołano komórkę zajmującą się sprawami cyberbezpieczeństwa. Prokuratury regionalne otrzymały z kolei polecenie powołania koordynatorów ds. cyberprzestępczości. „Specjalizacja będzie następować. Już następuje” – podkreśla Maciej Gawroński.

Jak zabezpieczyć siebie i firmę przed pociągnięciem do odpowiedzialności?

Żeby wykazać należytą staranność, trzeba wdrożyć pewien proces oraz udokumentować go. Na samym końcu pozostaje papier” – stwierdza mecenas Gawroński. Należy wykonywać analizy bezpieczeństwa, przydają się certyfikacje. „Można dokonać outsourcingu odpowiedzialności. Tutaj odpowiedzią może być Cloud computing”. Wreszcie – trzeba mieć opinie prawne, na ile stosowane przez organizację rozwiązania są bezpieczne.

Cyberbezpieczeństwo w polskim porządku prawnym: przepisy, zalecenia, standardy

Przepisy obowiązujące

  • Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku
  • Rozporządzenie wykonawcze do Ustawy o ochronie danych osobowych
  • Ustawa o zarządzaniu kryzysowym z dnia 26 kwietnia 2007 roku
  • Ustawa Prawo telekomunikacyjne z dnia 16 lipca 2004 roku
  • Ustawa Prawo energetyczne z dnia 10 kwietnia 1997 roku
  • Ustawa o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej z dnia 29 sierpnia 2002 roku
  • Kodeks karny z dnia 6 czerwca 1997 roku
  • Ustawa o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary z dnia 28 października 2002 roku
  • Przepisy o tajemnicach (bankowej, lekarskiej, pocztowej, telekomunikacyjnej, przedsiębiorstwa itp.)
  • Ustawa o działaniach antyterrorystycznych

Przepisy oczekujące na wejście w życie

  • Ogólne Rozporządzenie UE nr 2016/679 z dnia 27 kwietnia 2016 roku (GDPR)
  • Dyrektywa „NIS” nr 2016/1148 z dnia 6 lipca 2016 roku

Zalecenia

  • Rekomendacje i wytyczne KNF (rekomendacje D i M)
  • Raport NIK z dnia 26 czerwca 2015 roku z kontroli ochrony cyberprzestrzeni RP
  • Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej (2013)
  • Strategia Bezpieczeństwa Narodowego Rzeczypospolitej Polskiej (2014)
  • Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej (2015)

Standardy

  • ISO/IEC 27001:2014-2 – Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania
  • ISO/IEC 27002:2014-12 – Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji
  • ISO/IEC 27032:2012 – Informatyka – Techniki bezpieczeństwa – Wytyczne dotyczące cyberbezpieczeństwa
  • ISO/IEC 27018:2014 – Technika informatyczna – Techniki bezpieczeństwa – Kodeks dobrych praktyk w zakresie ochrony danych osobowych (PII) w chmurach publicznych działających jako przetwarzający PII
  • ISO/IEC 27017:2015 –Code of practice for information security controls based on ISO/IEC 27002 for cloud services
  • ISO/IEC 22301:2012 – Business continuity management systems - Requirements
  • ISO 31000:2012 – Zarządzanie ryzykiem – Zasady i wytyczne
  • Cloud Security Alliance STAR Certification

Opracowanie: mec. Maciej Gawroński, Radca prawny, Partner, kancelaria Maruta Wachta

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200