GOSPODARKA EKONOMIA NOWE TECHNOLOGIE
Zapamitaj mnie Zapomniae haso?

Cyberatak - obowiązki notyfikacyjne na gruncie prawa polskiego

22 maja 2020, 05:45 / źródło: opracowanie autorskie / zdjęcie: pixabay
Cyberatak - obowiązki notyfikacyjne na gruncie prawa polskiego

W październiku 2019 r. niezidentyfikowani hakerzy zaszyfrowali systemy IT kanadyjskiego ubezpieczyciela, żądając 950,000 USD okupu w zamian za ich odblokowanie. Okup został zapłacony w bitcoinach, których część została powiązana przez specjalistyczną spółkę Chainanalysis z kluczem jednej z największych giełd kryptowalutowych Bitfinex. Sprawa skończyła się w brytyjskim sądzie, gdzie ubezpieczyciel poszkodowanej spółki z Kanady dochodził zabezpieczenia roszczenia wydobywczego przeciwko Bitfinex (zob. precedensowe i szeroko komentowane orzeczenie w sprawie AA v Persons Unknown). Być może część środków uda się w ten sposób odzyskać. Sam okup nie jest tu jednak tutaj kluczowy: nawet po jego zapłacie i otrzymaniu narzędzia deszyfrującego, odblokowanie niektórych urządzeń zajęło poszkodowanej firmie nawet 10 dni roboczych. W tym czasie, działalność operacyjna była efektywnie zamrożona, niepowołane osoby miały potencjalny dostęp do danych wrażliwych: danych osobowych, tajemnic przedsiębiorstwa, tajemnic technologicznych, cennego know-how, a reputacja ubezpieczyciela była wystawiona na ciężką próbę.

Wraz z rozwojem e-commerce i nowych technologii ataki hakerskie nabierają tempa. W 2017 r. atak ransomware na holenderski oddział Fedex kosztował spółkę 350 milionów dolarów. Niektórzy przewidują, że w 2021 r. atak typu ransomware nastąpi co 11 sekund, a szkody z tego tytułu przekroczą 6 bilionów USD.

Niewątpliwie, zagrożenia te dotyczą również biznesu w Polsce. Dziś podstawą jest wdrożenie mechanizmów zabezpieczających oraz opracowanie wewnętrznych procedur postępowania na wypadek cyberataku. W niektórych przypadkach w grę wejdą również obowiązki regulacyjne. Najważniejsze z nich zostały omówione poniżej.

1.    Obowiązki wynikające z przepisów o krajowym systemie cyberbezpieczeństwie

Polski system nie zawiera ogólnego obowiązku notyfikacji incydentów związanych z cyberbezpieczeństwem. W konsekwencji, tylko niektóre podmioty mają obowiązek notyfikacji cyberataków. Kwestię tę reguluje ustawa o krajowym systemie cyberbezpieczeństwa z 2018 r., implementująca unijną Dyrektywę NIS (Dyrektywa UE 2016/1148). System opiera się na 2 kategoriach podmiotów: operatorze usług kluczowych oraz dostawcy usług cyfrowych.

Operator usług kluczowych to podmiot działający w sektorach kluczowych z perspektywy funkcjonowania państwa. Sektory te zostały wyliczone szczegółowo w załączniku nr 1 do ustawy i obejmują np. energetykę, transport, infrastrukturę cyfrową, bankowość czy zdrowie. Do operatorów usług kluczowych ustawodawca zalicza m.in. instytucyjne kredytowe, banki, przewoźników lotniczych, zarządcę infrastruktury kolejowej, przedsiębiorstwa energetyczne czy podmioty świadczący usługi DNS.

Co ważne, ustawa znajdzie zastosowanie jedynie do podmiotów posiadających jednostkę organizacyjną na terytorium Polski, pod warunkiem, że podmiot ten został objęty stosowną decyzją organu właściwego do spraw cyberbezpieczeństwa o uznaniu za operatora usługi kluczowej. Decyzja ma charakter konstytutywny: ustawowe obowiązki operatora usług kluczowych nie ciążą na podmiotach nieobjętych decyzją administracyjną.

Operatorzy są m.in. zobowiązani do wdrożenia systemu zarządzania bezpieczeństwem, notyfikacji incydentów poważnych (mogących powodować obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej), przeprowadzania audytu bezpieczeństwa stosowanego systemu informacyjnego. Operator ma obowiązek zgłoszenia poważnego incydentu(definiowanego jako incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej) niezwłocznie, nie później niż w ciągu 24 godzin od jego wykrycia. Zgłoszeń należy dokonywać do właściwego CSIRT w zależności od charakteru operatora (CSIRT MON, NASK i GOV).

Dostawca usług cyfrowych to podmiot działający w Polsce i świadczący jedną z określonych w ustawie usług cyfrowych:

✔    Internetowej platformy handlowej    
✔    Usługi przetwarzania w chmurze
✔    Wyszukiwarki internetowej

W stosunku do dostawców usług cyfrowych nie występuje prekwalifikacja na podstawie konstytutywnej decyzji administracyjnej potwierdzającej związanie regulacją cyberbezpieczeństwa. Dostawcy powinni więc samodzielnie dokonać analizy przesłanek ustawowych i ocenić, czy spoczywają na nich obowiązki wynikające z tych przepisów.

Obowiązki dostawcy usług cyfrowych są mniej intensywne niż obowiązki ciążące na operatorach usług kluczowych. Zgodnie z ustawą dostawcy podejmują „właściwe i proporcjonalne środki techniczne i organizacyjne określone w rozporządzeniu wykonawczym 2018/151 w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej”. Dostawcy powinni wykrywać, analizować, klasyfikować incydenty cyberbezpieczeństwa dotykające ich systemów. W razie wykrycia incydentu istotnego (definiowanego jako incydent mający wpływ na świadczenie usług cyfrowych), dostawca ma obowiązek powiadomienia właściwego CSIRT w ciągu 24 godzin.

Niestosowanie niektórych obowiązków ustawowych może grozić nałożeniem na obowiązany podmiot kary pieniężnej (wysokość kar waha się między 15.000 zł a 1.000.000 zł i jest zależna od rodzaju obowiązku i typu podmiotu, którego dotyczy). W niektórych przypadkach możliwe jest również nałożenie kary pieniężnej na właściwego kierownika operatora usługi kluczowej (kara do wysokości 200% miesięcznego wynagrodzenia).

2.    Obowiązki związane z danymi osobowymi

Kluczowe z punktu widzenia ochrony danych osobowych jest wdrażanie odpowiednich technicznych środków ochrony i zapobiegania wycieku danych. Jeżeli mimo zastosowanych środków jednak dojdzie do wycieku danych to na ich administratorze spoczywa obowiązek powiadomienia o tym Prezesa UODO oraz osób, których dane dotyczą.

Powiadomienie organu nadzorczego powinno nastąpić bez zbędnej zwłoki, nie później niż na 72 godziny po stwierdzeniu naruszenia. Wyjątkiem jest sytuacja, w której administrator jest w stanie wykazać, że jest mało prawdopodobne, by naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

Powiadomienie osoby, której dane dotyczą jest uzasadniane możliwością zminimalizowania ryzyka wystąpienia szkody dla tej osoby. Szybka informacja o wycieku może umożliwić podjęcie niezbędnych działań zapobiegawczych. Wraz z powiadomieniem, administrator powinien również przedstawić zalecenia, których podjęcie ma minimalizować potencjalne niekorzystne skutki związane z wyciekiem danych.

3.    Szczególne obowiązki sektorowe i umowne

Dodatkowe obowiązki notyfikacyjne mogą wynikać ze szczególnych regulacji sektorowych, specyficznych dla rodzaju prowadzonej działalności oraz zapisów umów z klientami czy kontrahentami. Obowiązek wystąpi zwykle wtedy, gdy cyberatak wpłynie w jakimś stopniu na działalność operacyjną danego podmiotu.Regulacje są tu zwykle nakierowane na przeciwdziałanie skutkom takiego zdarzenia, niezależnie od jego charakteru (ustawodawca nie przewiduje szczególnych regulacji dla cyberataków a istotne są wszelkiego rodzaju zdarzenia o określonych skutkach). Przykładowo, regulacje księgowe w zakresie raportowania zdarzeń finansowych mają na celu ustandaryzowanie rodzaju raportowanych informacji finansowych; przepisy te znajdą zastosowanie wtedy, gdy atak ma wpływ na sytuację finansową danego podmiotu. Regulacje zdrowotne przewidują obowiązki notyfikacyjne związane z zapewnieniem bezpieczeństwa produkowanych i rozpowszechnianych produktów leczniczych czy urządzeń medycznych. Wchodziłyby więc w grę np. wtedy, gdyby wskutek cyberataku integralność produkowanych urządzeń medycznych została naruszona, zagrażając w ten sposób korzystającym z nich osób. Cyberatak mógłby prowadzić do wywołania incydentu medycznego, definiowanego w ustawie o wyrobach medycznych m.in. jako wadliwe działanie, defekt, pogorszenie właściwości lub działania wyrobu, jak również nieprawidłowość w jego oznakowaniu lub instrukcji używania, które mogą lub mogły doprowadzić do śmierci lub poważnego pogorszenia stanu zdrowia pacjenta lub użytkownika wyrobu. W takim przypadku należałoby się liczyć z obowiązkami notyfikacyjnymi.

Niezastosowanie się do tego typu obowiązków będzie uaktualniało sankcje przewidziane dla nich w konkretnych regulacjach. Przykładowo, niezgłoszenie incydentu medycznego wywołanego cyberatakiem może skutkować grzywną, karą ograniczenia wolności lub karą pozbawienia wolności do roku. Dlatego, w razie jakiegokolwiek cyberataku jest niezwykle ważne, aby działać szybko, według z góry określonego planu i z uwzględnieniem obowiązujących regulacji. Ukrycie incydentu może okazać się wielokrotnie dużo bardziej kosztowne niż otwarte przyznanie się do niego i podjęcie stosownych działań naprawczych.

Autorzy:

Andrzej Babczyński jest prawnikiem kancelarii WKB Wierciński, Kwieciński, Baehr sp. k.;

Emanuel Wanat jest adwokatem, prawnikiem kancelarii WKB, ekspertem Instytutu Jagiellońskiego oraz członkiem Komitetu Arbitrażowego Sądu Arbitrażowego przy Konfederacji Lewiatan.

Z OSTATNIEJ CHWILI

Nowy pakt migracyjny
1 października 2020, 10:39 0 komentarzy
pokaz więcej

Zapisz się na PolishBrief.pl

Analizy, opinie i wywiady. Gospodarczy skrót dnia.

0 komentarzy

przeczytaj także

© 2020. Wszystkie prawa zastrzeżone

Zaloguj si

Zapamitaj mnie Zapomniae haso?

Zarejestruj si

Używamy cookies w celach funkcjonalnych, aby uatwi użytkownikom korzystanie z witryny oraz w celu tworzenia anonimowych statystyk serwisu. Jeżeli nie blokujesz plików cookies, to zgadzasz si na ich używanie oraz zapisanie w pamici urzdzenia.
Polityka Prywatnoci    AKCEPTUJ