Ataki hakerów, czyli na kim spoczywa cyberodpowiedzialność?

23 czerwca 2015

Maciej Gawroński

Ostatnie dni przyniosły kolejne doniesienia o atakach cybernetycznych na istotne polskie przedsiębiorstwa. Po ataku na Plus Bank nastąpił nowy otwarty atak na systemy Polskich Linii Lotniczych LOT. Odpowiedzialność przestępców za takie ataki jest oczywista i mamy nadzieję, że organom ściągania uda się doprowadzić ich przed oblicze wymiaru sprawiedliwości. Biorąc pod uwagę, że straty przedsiębiorstw w związku z cyberatakami sięgają rocznie miliardów złotych, szczególnie ważna jest odpowiedź na pytanie, czyim obowiązkiem jest zapewnienie cyberbezpieczeństwa oraz jaka odpowiedzialność grozi za jego niedopełnienie.

Szeroki wachlarz przepisów

O ile polskie przepisy prawne nie mówią wprost o cyberbezpieczeństwie, to jednak cały szereg regulacji znajduje zastosowanie w tym zakresie. Z pewnością będzie to ustawa o ochronie danych osobowych, ustawa o zarządzaniu kryzysowym, ustawa Prawo telekomunikacyjne, ustawa o odpowiedzialności podmiotów zbiorowych i wreszcie kodeks karny. Istnieją również prawne wytyczne (tzw. soft law), gdzie wprost mówi się o cyberbezpieczeństwie bądź bezpieczeństwie teleinformatycznym, np. Polityka Ochrony Cyberprzestrzeni Rzeczpospolitej Polskiej, Doktryna Cyberbezpieczeństwa Rzeczpospolitej Polskiej, Strategia Bezpieczeństwa Narodowego Rzeczpospolitej Polskiej, Projekt Dyrektywy Parlamentu Europejskiego i Rady w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji obrębie Unii. Najbardziej praktyczne to jednak Rekomendacja D i Rekomendacja M Komisji Nadzoru Finansowego.

Kto i w jakim zakresie jest odpowiedzialny?

W przypadku ataków, jak ten na PLL LOT, od razu pojawia się pytanie o osoby odpowiedzialne za zapewnienie cyberbezpieczeństwa oraz o rodzaj tej odpowiedzialności. Bezdyskusyjnie istnieją podstawy do daleko idącej odpowiedzialności. 

Jeśli chodzi o odpowiedzialność cywilną, to ponosi ją jednostka organizacyjna, w której doszło do zaniedbań w obszarze cyberbezpieczeństwa. W zasadzie nie poniosą odpowiedzialności cywilnej osoby, które do tych zaniedbań dopuściły. Takie osoby mogą już jednak ponosić odpowiedzialność administracyjną w niektórych sektorach. Może im również zostać przypisana odpowiedzialność karna. Nawet w sytuacji, kiedy osoba odpowiedzialna za cyberbezpieczństwo nie działa z umyślnym zamiarem wyrządzenia szkody, może odpowiadać za popełnienie przestępstwa umyślnego. 

W sytuacji, kiedy mamy wiedzę o ataku cybernetycznym, a jesteśmy odpowiedzialni za niedopuszczenie do ataku oraz za obronę przed nim, nie czas jest na długotrwałe procedury zamówieniowe oraz na dyskusję o cenie. Niezrozumiałe jest rezygnowanie z działań w obszarze tzw. computer forensic, czyli informatyki śledczej. Znana nam jest od kilku miesięcy sytuacja w jednym z polskich przedsiębiorstw sektora finansowego, w którym zamiast podjąć natychmiastowe działania defensywne i prewencyjne, skupiono się na negocjacjach z dostawcami tego typu usług. W tym przypadku mogą wręcz istnieć podstawy do postawienia zarzutów osobom, które tak działały. 

Odpowiedzialność wykorzystującego systemy  

Komentując incydent, który zdarzył się w PLL LOT, warto zwrócić uwagę na parę kwestii. PLL LOT wskazuje, że posiada systemy bezpieczeństwa nie gorsze niż inne linie lotnicze. Pytanie, czy standard stosowany przez inne linie lotnicze jest standardem bezpieczeństwa teleinformatycznego adekwatnym do wyzwań istniejących w dzisiejszym świecie w zakresie cyberbezpieczeństwa? Pojawia się również pytanie o to, kto powinien zapewnić bezpieczeństwo systemów - czy jest to dostawca systemów czy organizacja, w której te systemy działają i która kontroluje sieć teleinformatyczną? Jest to złożony problem. Główny jednak nacisk na zapewnienie cyberbezpieczeństwa musi kłaść ten, kto systemy wykorzystuje, z tego względu, że to on posiada kontrolę nad sposobami uwierzytelnienia i barierami w dostępie do sieci teleinformatycznej. 

Wirtualne ataki = realne straty dla biznesu 

Na cyberbezpieczeństwo oraz odpowiedzialność za jego zapewnienie składa się co najmniej kilkanaście typów działań, struktur i procedur. Warto zaznaczyć, że według badania sponsorowanego przez firmę McAfee globalne straty związane z naruszeniem cyberbezpieczeństwa wahają się pomiędzy ok. 400 a 600 mld USD (podobne dane przedstawia PwC – 500 mld USD), z czego straty związane z wyciekiem danych osobowych szacuje się na ok. 150 mld USD. Według danych przedstawionych w 2011 r. przez firmę Symantec w Polsce co minutę 15 osób pada ofiarą cyberataku, a straty związane z naruszeniem cyberbezpieczeństwa wyniosły ok. 13 mld PLN. 

Chmura rozwiązaniem dla cyberbezpieczeństwa? 

Paradoksalnie, odpowiedzią na zagrożenia związane z cyberbezpieczeństwem jak i odpowiedzialnością za cyberbezpieczeństwo może okazać się cloud computing. Infrastruktura, w oparciu o którą świadczone są profesjonalne usługi chmurowe, tworzona jest z dbałością o  zapewnienie najwyższego poziomu bezpieczeństwa i ciągłości działania. Nakłady, które są przeznaczane przez dostawców usług chmurowych na bezpieczeństwo, często przekraczają wielokrotnie cały budżet IT różnych instytucji. Powierzenie zapewnienia cyberbezpieczeństwa profesjonalistom może więc okazać się sposobem na outsourcing odpowiedzialności za ten obszar. 


Zagadnienie odpowiedzialności za cyberbezpieczeństwo było przedmiotem prezentacji przedstawionej przez Macieja Gawrońskiego na konferencji CyberGov zorganizowanej przez Ministerstwo Administracji i Cyfryzacji w dn. 18.06.2015 r. Temat odpowiedzialności za cyberbezpieczeństwo był i będzie przez nas nadal rozwijany zarówno w publikacjach, jak i w organizowanych przez nas wydarzeniach. Pierwsze spotkanie poświęcone tej tematyce zostanie zorganizowane już w lipcu.