Zabezpieczenie kontraktowe w przypadku kupowania systemów do własnej infrastruktury jest trudne. Można jedynie uzyskać zapewnienia ze strony dostawcy o tym, że system przez niego oferowany nie ma tzw. furtek, zaszytych nieuprawnionych dostępów i że został wykonany zgodnie z dobrymi praktykami bezpieczeństwa - mówi Maciej Gawroński, radca prawny, partner w warszawskim biurze Bird & Bird.
Maciej Gawroński radca prawny, partner w warszawskim biurze Bird & Bird, szef praktyki prawa IT i nowych technologii / Dziennik Gazeta Prawna
Niedawno głośno było o atakach hakerów na systemy informatyczne niektórych firm. Wielu przedsiębiorców zadaje pytanie: jak się zabezpieczyć na wypadek takich cyberataków, także pod względem prawnym?
To firma odpowiada za stan własnego systemu informatycznego i ponosi konsekwencje naruszenia cyberbezpieczeństwa. Z praktycznego punktu widzenia najlepszym rozwiązaniem jest zatrudnienie osoby, do której obowiązków należy zapewnienie bezpieczeństwa informacji w danej firmie. Chodzi o informacje stanowiące tajemnicę przedsiębiorstwa, dane osobowe czy wszelkie dane informatyczne. Odpowiedzialny za to może być przykładowo informatyk lub administrator bezpieczeństwa informacji, o którym mowa w przepisach o ochronie danych osobowych. W większych firmach może to być szef działu compliance (zgodności) lub chief information officer, czyli wiceprezes odpowiedzialny za pion informatyki.
Czy przedsiębiorca, który poniósł straty na skutek cyberataku, może wystąpić z ewentualnymi roszczeniami wobec dostawcy systemów?
W praktyce nie ma większych szans, aby poszkodowany przedsiębiorca mógł dochodzić roszczeń od wytwórcy systemu informatycznego, do którego nastąpiło włamanie. Utrudniają to najczęściej umowy licencyjne i wdrożeniowe. Dodatkowo to nie producent systemu ma kontrolę nad tym, jaki poziom bezpieczeństwa i dostępu do niego został zapewniony w danej firmie.
Jedynie w przypadku gdy firma – zamiast przechowywać informacje we własnych systemach – wynajmuje systemy utrzymywane przez firmy specjalistyczne, to może skierować ewentualne roszczenia do takiego usługodawcy.
Z formalnego punktu widzenia firma może też dochodzić odpowiedzialności cywilnej od swoich pracowników, którzy mieli jej zapewnić cyberbezpieczeństwo; to jednak nie ma większego sensu ekonomicznego.
Ponadto poszkodowany przedsiębiorca ma możliwość wystąpienia o wypłatę ubezpieczenia, oczywiście jeżeli wcześniej wykupił ubezpieczenie od cyberryzyka.
Na skutek włamania do systemu firmy uszczerbek mogą ponieść również jej klienci, przykładowo na skutek ujawnienia ich wrażliwych danych. Czy mają szansę na uzyskanie rekompensaty lub odszkodowania od firmy, której powierzyli swoje dane, a która nie potrafiła zapewnić ich ochrony?
Klient zaatakowanej firmy ma prawo dochodzić odpowiedzialności kontraktowej za nienależyte wykonanie usługi czy innego świadczenia. Jednak taka firma może się zwolnić z tej odpowiedzialności, jeśli wykaże, że szkoda nie nastąpiła z przyczyn leżących po jej stronie. Stanie się tak zwłaszcza wtedy, gdy firma będąca ofiarą cyberataku udowodni, że dołożyła szczególnej staranności w zabezpieczeniu swojej sieci. Obowiązek dochowania szczególnej staranności wynika m.in. z przepisów ustawy o ochronie danych osobowych. Jednocześnie wykazanie szczególnej staranności wymaga podjęcia przygotowań i czynności oraz posiadania odpowiednich procedur. Jest to o tyle trudne, że obecnie przepisy nie mówią wprost, co składa się na cyberbezpieczeństwo. W związku z tym należy to interpretować na podstawie analizy wielu aktów prawnych i wytycznych.
Jak przedsiębiorca, korzystający z usług zewnętrznego dostawcy oprogramowania czy systemów, może się zabezpieczyć w zawieranych umowach co do odpowiedzialności za cyberataki i szkody z nich wynikające?
Zabezpieczenie kontraktowe w przypadku kupowania systemów do własnej infrastruktury jest trudne. Można jedynie uzyskać zapewnienia ze strony dostawcy o tym, że system przez niego oferowany nie ma tzw. furtek, zaszytych nieuprawnionych dostępów i że został wykonany zgodnie z dobrymi praktykami bezpieczeństwa. Zatem lepiej korzystać ze sprawdzonych dostawców. Dobrze, jeśli posiadają certyfikaty bezpieczeństwa, takie jak ISO 27001. Jeśli dostawca systemów IT poddaje się audytowi specjalistycznych podmiotów, zwiększa to pewność co do bezpieczeństwa oferowanych przez niego usług i produktów.
Równocześnie przedsiębiorca, który kupił system IT, powinien wykonywać periodycznie testy bezpieczeństwa, ponieważ narzędzia ataku i obrony zmieniają się dynamicznie. Jednym z elementów zabezpieczenia jest współpraca z firmami, które na bieżąco testują luki w cyberbezpieczeństwie. Można też skorzystać z usług zewnętrznego specjalisty, który nierzadko sprawniej i lepiej zapewni bezpieczeństwo niż personel danej firmy. Jednocześnie nie należy się skupiać jedynie na obronie przed cyberryzykiem, ale dodatkowo zaplanować sposób reagowania na ewentualne włamanie do systemu.
Czy korzystając z cloud computingu, czyli usług w chmurze, firma może się czuć bezpiecznie?
Infrastruktura, w oparciu o którą świadczone są profesjonalne usługi chmurowe, powinna być tworzona z dbałością o zapewnienie wysokiego poziomu bezpieczeństwa i ciągłości działania. Nakłady przeznaczane przez dostawców usług chmurowych na bezpieczeństwo przekraczają często wielokrotnie cały budżet IT różnych instytucji. Powierzenie zapewnienia cyberbezpieczeństwa profesjonalistom może się więc okazać sposobem na outsourcing odpowiedzialności za ten obszar. Można także korzystać z usług cyberbezpieczeństwa, które są dostarczane w modelu chmurowym.