Dochodzenie roszczeń wynikających z naruszeń cyberbezpieczeństwa

Zapewnianie bezpieczeństwa IT to nie tylko kwestia odpowiedniego sprzętu czy aplikacji. To także – a niekiedy przede wszystkim – umiejętnie wdrażane procedury dotyczące poufności danych oraz właściwa komunikacja i relacje z pracownikami.

Praktyczne problemy z dochodzeniem roszczeń wynikających z cyberprzestępczości prezentuje dr Izabela Szczygielska, adwokatka w kancelarii prawnej WKB Wierciński, Kwieciński, Baehr.

Cyberprzestępstwa i ich znamiona w polskim porządku prawnym

Polskie prawo karne nie wskazuje legalnej definicji cyberprzestępstwa. Cyberataki mogą wyczerpywać znamiona szeregu różnych paragrafów Kodeksu karnego. Wśród przykładów dr Izabela Szczygielska wylicza: nielegalne uzyskanie dostępu do informacji (art. 267 KK), niszczenie informacji (art. 268 KK), szkoda w bazach danych (art. 268a KK), sabotaż komputerowy (art. 287 KK), czy zakłócanie pracy w sieci (art. 269a KK).

Zobacz również:

Szczególnie ryzykowne może okazać się uzyskanie przez niepowołane osoby dostępu do cennych danych i informacji należących do firmy. „Najprostszym przykładem takiej sytuacji – abstrahując od cyberprzestrzeni – jest otwarcie listu, który nie był do mnie zaadresowany” – mówi dr Szczygielska. „Nie muszę go nawet czytać, nie muszę tych informacji ujawniać; sam fakt, że mam dostęp do informacji, która nie jest dla mnie przeznaczona, powoduje, że przełamuję pewne zabezpieczenie informacji w sposób nieuprawniony”.

Czy uzyskanie cudzego loginu jest w takim razie przestępstwem polegającym na nieuprawnionym uzyskaniu dostępu do informacji? Czy naruszenie bezpieczeństwa sieci automatycznie wypełnia znamiona takiego czynu? Otóż nie. „Takie działanie, choć jest naganne, i na pewno można tu zadziałać na innej podstawie prawnej, akurat tym przestępstwem nie będzie” – wyjaśnia dr Szczygielska. Podobnie, nie zawsze nagranie czy podsłuchanie rozmowy bez uzyskania zgody będzie przestępstwem. „Po pierwsze – informacja musi mieć charakter poufny” – stwierdza dr Szczygielska. Musi być jasne, że nie jest przeznaczona dla szerszego grona odbiorców. Jak to udowodnić? „Najłatwiej po prostu powiedzieć w trakcie rozmowy, że rozmawiamy w cztery oczy, że rozmowa ona charakter poufny”.

dr Izabela Szczygielska, adwokat i counsel w kancelarii prawnej WKB Wierciński, Kwieciński, Baehr

Niszczenie informacji w rozumieniu art. 268 KK ma miejsce, kiedy w efekcie określonych działań osoba, do której dane informacje mają dotrzeć, nie będzie mogła się z nimi zapoznać. „To także zmiana, usuwanie, jednym słowem – utrudnianie zapoznania się z informacją” – mówi dr Szczygielska. Według jej doświadczeń, to sytuacja mająca miejsce szczególnie często w momencie rozstawania się pracownika z firmą. Kiedy odchodzi, usuwa niekiedy bardzo cenne dane z firmowego sprzętu, a ich odzyskanie może wiązać się z koniecznością wykorzystania specjalistycznego oprogramowania.

Kolejny przykład przestępstwa to szkoda lub niszczenie baz danych” – wskazuje dr Szczygielska. Treść artykułu 267a Kodeksu karnego dotyczy – w odróżnieniu od wyżej opisanego przypadku – danych i utrudniania procesów ich przetwarzania, nie zaś powstałych na ich bazie, konkretnych i zaadresowanych do określonych osób informacji.

Następnym groźnym przestępstwem jest „sabotaż komputerowy lub oszustwo dokonywane poprzez fałszowanie pewnych danych, zmianę treści, wpływanie na treść tych danych” – mówi dr Szczygielska. „W tym przypadku ważne jest to, że celem działania jest pozyskanie korzyści majątkowej”. To istotna różnica w stosunku do opisywanych wyżej przypadków – przesłanką jest tutaj motywacja finansowa, w imię której przestępca stara się wpłynąć na treść konkretnych danych. Co istotne, naruszenia polegające na uzyskaniu korzyści majątkowej np. w wyniku dystrybuowania spamu nie będą rozpatrywane na podstawie paragrafu 287 KK – trudno bowiem udowodnić, że tego typu atak miał na celu pozyskanie jakichś określonych danych.

Z wyczerpaniem przesłanek art. 269a Kodeksu karnego mamy miejsce, kiedy przestępca stara się utrudnić funkcjonowanie przedsiębiorstwa, zakłócając pracę w sieci „przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnianie dostępu lub zmianę danych informatycznych”.

Omówione wyżej przypadki „to nie jest wyczerpujący katalog. To przykładowe przepisy, na podstawie których możemy próbować dochodzić sprawiedliwości wobec sprawców przestępstw, i które dotyczą wpływania na dane” – podkreśla dr Izabela Szczygielska. Przypomina, że cyberprzestępstwa często dają się także podciągnąć pod przepisy dotyczące zwalczania nieuczciwej konkurencji.

Trudności w dochodzeniu roszczeń

Powołując się na zrealizowane przez PwC badanie pt. „Stan bezpieczeństwa informacji w Polsce”, dr Szczygielska wymienia skutki, jakie według przedsiębiorców okazały się w ich przypadku najbardziej dotkliwe w odniesieniu do naruszeń bezpieczeństwa firmowych danych. Są to w szczególności: utrata klientów (33%) oraz straty finansowe (33%), a także ujawnienie lub modyfikacja danych (31%) oraz utrata reputacji (16%).

Mimo, że skutki naruszeń bezpieczeństwa są poważne, dochodzenie ich skutecznie utrudniają liczne bariery prawne. Jako przykład wskazać można problemy z udowodnieniem wykorzystania skradzionych danych czy brak procedur reagowania kryzysowego w przypadku cyberataku. Firmy rzadko szkolą pracowników ze sposobów dbania o cyberbezpieczeństwo oraz nie wprowadzają procedur czytelnie ograniczających dostęp do danych w zależności od stanowisk służbowych czy pełnionych funkcji. To w niektórych przypadkach utrudnia np. ustalenie, w jakim stopniu kto przyczynił się do przestępstwa, a co za tym idzie – uniemożliwia wykrycie sprawcy. Problematyczne mogą być również koszty procesu oraz czas jego trwania, a także ograniczony wpływ na przebieg postępowania karnego.

Ile zatem związanych z naruszeniami cyberbezpieczeństwa zawiadomień składają rocznie polscy przedsiębiorcy? Efekty trudności w dochodzeniu roszczeń wynikających z cyberprzestępstw są właściwie policzalne. Wedle danych statystycznych dotyczących okresu pięcioletniego – lat 2010 – 2014, „przeciętnie, rocznie, jest to około siedemdziesięciu kilku zawiadomień. W czterdziestomilionowym państwie” – podkreśla ze zrezygnowaniem dr Szczygielska.

Metody redukcji ryzyka

Jakie kroki może podjąć firma, aby zabezpieczyć się przed cyberatakami, a w razie naruszenia bezpieczeństwa ułatwić sobie dochodzenie roszczeń? Należy oczywiście inwestować w odpowiednie rozwiązania IT, ale także budować prawidłowe relacje z pracownikami, organizować szkolenia poświęcone kwestiom bezpieczeństwa oraz identyfikować potencjalne ryzyka oraz najważniejsze dobra organizacji, w tym dane, które podlegać będą szczególnej ochronie. Izabela Szczygielska dodaje: „należy zaznaczyć, że są to informacje poufne. Jeżeli tego nie zaznaczymy, to udowodnienie, że należą do przedsiębiorstwa, będzie bardzo trudne”. Konieczne są zatem umowy o zachowaniu poufności, jasno sformułowane procedury i firmowe polityki dotyczące danych, a także współpraca z organami publicznymi, takimi jak CERT.

Trzeba przypomnieć, że najsłabszym ogniwem i największym zagrożeniem są pracownicy przedsiębiorstw” – podkreśla dr Szczygielska. „Najczęściej są to pracownicy średniego szczebla, ponieważ są osoby dostęp do informacji firmowych, ale nie odpowiadają w takim stopniu, jak członkowie zarządu”.